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网 络 安全 是 一 门 实验 性 很 强 的 课程 ,大 量 的 理论 知识 需要 通过 实验 验证 ， 
学 生 只 有 通过 实验 才能 更 深刻 地 了 解 各 种 网 络 安全 技术 的 应 用 过 程 。 本 书 是 
与 (网络 安全 ) 一 书 配套 的 实验 教程 ,以 Cisco Packet Tracer 软件 作为 实验 平 
台 , 针 对 教材 内 容 , 设 计 了 大 量 帮助 读者 理解 .掌握 教材 内 容 的 实验 。 实 验 由 
两 部 分 组 成 ,一 部 分 实验 是 教材 中 的 案例 和 实例 的 具体 实现 ,用 于 验证 教材 内 
容 , 帮 助 学 生 更 好 地 理解 .掌握 教材 内 容 ; 另 一 部 分 实验 是 实际 问题 的 解决 方 
案 , 给 出 运用 Cisco 安全 设备 解决 各 种 实际 网 络 安全 问题 的 方法 和 步骤 。 

Cisco Packet Tracer 软件 的 人 机 界面 非常 接近 实际 Cisco 安全 设备 的 
配置 过 程 ,除了 连接 线 绕 等 物理 动作 外 ,学 生 通 过 Cisco Packet Tracer 软件 
完成 实验 的 过 程 与 通过 实际 Cisco 安全 设备 完成 实验 的 过 程 几乎 相同 。 通 
过 Cisco Packet Tracer 软件 ,学 生 可 以 完成 用 于 解决 复杂 网 络 环境 下 安全 问 
题 的 实验 。 更 为 难得 的 是 ,Cisco Packet Tracer 软件 可 以 模拟 IP. 分 组 端 到 
端 传输 过 程 中 交换 机 、 路 由 器 等 网 络 设备 处 理 IP 分 组 的 每 一 个 步骤 ,显示 各 
个 阶段 应 用 层 消 息 、 传 输 层 报 文 .IP 分 组 ,封装 IP 分 组 的 链 路 层 帧 的 结构 、 
内 容 和 首部 中 每 一 个 字段 的 值 , 使 学 生 可 以 直观 了 解 IP 分 组 的 端 到 端 传输 
过 程 ,以 及 IP 分 组 端 到 端 传输 过 程 中 交换 机 、 路 由 器 等 网 络 设备 具有 的 各 种 
安全 功能 对 IP 分 组 的 作用 过 程 。 

《网 络 安全 》 和 本 书 相得益彰 ,前 者 为 学 生 提供 了 网 络 安全 理论 、 协 议和 
技术 , 本 书 提供 了 在 Cisco Packet Tracer 软件 实验 平台 上 运用 教材 提供 的 
网 络 安全 理论 .协议 和 技术 解决 各 种 实际 网 络 安全 问题 的 方法 和 步 又。 学 
生 可 用 《网 络 安全 》 提 供 的 网 络 安全 理论 .协议 和 技术 指导 实验 , 反 过 来 又 可 
以 通过 实验 加 深 理解 网 络 安全 理论 、 协 议和 技术 ,使 课堂 教学 和 实验 形成 良 
性 互动 ,真正 实现 使 学 生 掌 握 网 络 安 全 基本 概念 、 理 论 和 技术 ,具有 运用 
Cisco 安全 设备 解决 各 种 实际 网 络 安全 问题 的 能 力 的 教学 目标 。 

本 书 适 合作 为 网 络 安全 课程 的 实验 指南 ,也 可 作为 运用 Cisco 安全 设备 
解决 各 种 实际 网 络 安全 问题 的 工程 技术 人 员 的 参考 书 。 

限于 作者 的 水 平 , 书 中 不 足 之 处 在 所 难免 , 扫 切 希望 使 用 本 书 的 老师 和 学 
生 批 评 指 正 , 也 撕 切 希望 读者 能 就 本 书 内 容 和 和 叙述 方式 提出 宝贵 意见 和 建议 ， 
以 便 进 一 步 完 善本 书 内 容 。 作 者 E-mail 地 址 为 shenxinshan@163. com, 


作 者 
2016 年 12 月 
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Cisco Packet Tracer 是 非常 理想 的 软件 实验 平台 ,可 以 完成 各 种 规模 校园 网 和 企业 
网 的 设计 配置 和 调试 过 程 :可 以 基于 具体 网 络 环境 分 析 各 种 协议 运行 过 程 中 网 络 设备 之 
间 交 换 的 报 文 类 型 , 报 文 格式 及 报 文 处 理 流程 ;可 以 直观 了 解 TP 分 组 端 到 端 传输 过 程 中 
交换 机 、 路 由 器 等 网 络 设备 具有 的 各 种 安全 功能 对 IP 分 组 的 作用 过 程 。 除 了 不 能 实际 物 
理 接触 以 外 ,Cisco Packet Tracer 提供 了 和 实际 实验 环境 几乎 一 样 的 仿真 环境 。 


1.1 Packet Tracer 6. 2 使 用 说 明 


1.1.1 功能 介绍 


Cisco Packet Tracer 6. 2 是 Cisco( 思 科 ) 为 网 络 初 学 者 提供 的 一 个 学 习 软 件 ,初学 者 
通过 Packet Tracer 可 以 运用 Cisco 网 络 设 备 设计 、 配 置 和 调试 网 络 , 可 以 模拟 分 组 端 到 
端 传输 过 程 中 的 每 一 个 步骤 ;可 以 直观 了 解 IP 分 组 端 到 端 传 输 过 程 中 交换 机 、 路 由 器 等 
网 络 设备 具有 的 各 种 安全 功能 对 IP 分 组 的 作用 过 程 。 作 为 辅助 教学 工具 和 软件 实验 平 
台 ,Packet Tracer 可 以 在 课程 教学 过 程 中 完成 以 下 功能 。 

1. 完成 网 络 设计 ,配置 和 调试 过 程 

根据 网 络 设计 要 求 选择 Cisco 网 络 设备 ,如 路 由 器 、 交 换 机 等 ,用 合适 的 传输 媒体 将 
这 些 网 络 设备 互 连 在 一 起 ,进入 设备 配置 界面 对 网 络 设备 逐一 进行 配置 ,通过 启动 分 组 端 
到 端 传输 过 程 检验 网 络 任意 两 个 终端 之 间 的 连通 性 。 如 果 发 现 问题 ,通过 检查 网 络 拓扑 
结构 .互连网 络 设备 的 传输 媒体 .设备 配置 信息 .设备 建立 的 控制 信息 (如 交换 机 转发 表 、 
路 由 器 路 由 表 等 ) 确 定 问题 的 起 因 ,并 加 以 解决 。 

2. 解决 复杂 网 络 环境 下 的 安全 问题 

Cisco 网 络 设备 (如 交换 机 、 路 由 器 、 接 入 点 等 ) 本 身 具有 安全 功能 ,运用 这 些 网 络 设 
备 本 身 具 有 的 安全 功能 可 以 解决 复杂 网 络 环境 下 的 各 种 安全 问题 。 启 动 Cisco 网 络 设备 
的 安全 功能 后 ,可 以 直观 了 解 IP 分 组 端 到 端 传输 过 程 中 Cisco 网 络 设备 具有 的 各 种 安全 
功能 对 IP 分 组 的 作用 过 程 。 

3. 模拟 协议 操作 过 程 

网 络 中 分 组 端 到 端 传输 过 程 是 各 种 协议 与 各 种 网 络 技术 相互 作用 的 结果 ,因此 ,只 有 
了 解 网 络 环境 下 各 种 协议 的 工作 流程 .各 种 网 络 技术 的 工作 机 制 及 它们 之 间 的 相互 作用 
过 程 ,才能 掌握 完整 .系统 的 网 络 知识 。 对 于 初学 者 ,掌握 网 络 设备 之 间 各 种 协议 实现 过 
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程 中 相互 传输 的 报 文 类 型 、 报 文 格式 、 报 文 处 理 流程 对 理解 网 络 工作 原理 至 关 重 要 。 
Packet Tracer 模拟 操作 模式 给 出 了 网 络 设备 之 间 各 种 协议 实现 过 程 中 每 一 个 步骤 涉及 
的 报 文 类 型 . 报 文 格式 及 报 文 处 理 流程 ,可 以 让 初学 者 观察 .分 析 协议 执行 过 程 中 的 每 一 
个 细节 。 这 些 协 议 中 包括 IP Sec SSL 等 安全 协议 。 

4. 验证 教材 内 容 

《网 络 安全 ) 教 材 的 主要 特色 是 在 讲述 每 一 种 安全 协议 或 安全 技术 前 , 先 构建 一 个 运 
用 该 安全 协议 或 安全 技术 解决 实际 网 络 安全 问题 的 网 络 环境 ,并 在 该 网 络 环境 下 详细 讨 
论 安全 协议 或 安全 技术 的 工作 机 制 ,而 且 所 提供 的 网 络 环境 和 人 们 实际 应 用 中 所 遇 到 的 
实际 网 络 十 分 相似 , 较 好 地 解决 了 教学 内 容 和 实际 应 用 的 衔接 问题 。 因 此 ,可 以 在 教学 过 
程 中 ,运用 Packet Tracer 完成 教材 中 每 一 个 网 络 环境 的 设计 ,配置 和 调试 过 程 ,并 通过 
Packet Tracer 模拟 操作 模式 ,直观 了 解 TP 分 组 端 到 端 传输 过 程 中 Cisco 网 络 设备 具有 的 
各 种 安全 功能 对 TP 分 组 的 作用 过 程 , 以 此 验证 教材 内 容 , 并 通过 验证 过 程 , 进 一 步 加 深 学 
生 对 教材 内 容 的 理解 ,真正 做 到 和 弄 懂 JEA 
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启动 Packet Tracer 6. 2 后 ,出 现 如 图 1.1 所 示 的 用 户 界面 。 用 户 界面 可 以 分 为 菜单 
栏 主 工具 栏 , 公 共 工 具 栏 工作 区 .工作 区 选择 栏 、 模 式 选择 栏 设备 类 型 选择 框 .设备 选 
择 框 和 用 户 创建 分 组 窗口 等 。 
菜单 栏 主 工具 栏 
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图 1.1 Packet Tracer 6.2 用 户 界面 
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1. 菜单 栏 

菜单 栏 给 出 该 软件 提供 的 7 个 菜单 。 

File( 文 件 ) 菜 单 给 出 工作 区 新 建 . 打 开 和 存储 文件 命令 。 

Edit( 编 辑 ) 菜 单 给 出 复制 .粘贴 和 撤销 输入 命令 。 

Options( 选 项 ) 菜 单 给 出 Packet Tracer 的 一 些 配置 选项 。 

View( 视 图 ) 菜 单 给 出 放大 、 缩 小 工作 区 中 某 个 设备 的 命令 。 

Tools( 工 具 ) 菜 单 给 出 几 个 分 组 处 理 命令 。 

Extensions( 扩 展 ) 菜 单 给 出 有 关 Packet Tracer 扩展 功能 的 子 菜单 。 

Help( 帮 助 ) 菜 单 给 出 Packet Tracer 详细 的 使 用 说 明 , 所 有 初次 使 用 Packet Tracer 
的 读者 必须 详细 阅读 帮助 (Help) 菜 单 中 给 出 的 使 用 说 明 。 

2. 主 工具 栏 

主 工具 栏 给 出 Packet Tracer 常用 命令 ,这 些 命令 通常 包含 在 各 个 菜单 中 。 

3. 公共 工具 栏 

公共 工具 栏 给 出 对 工作 区 中 构件 进行 操作 的 工具 。 

选择 工具 用 于 在 工作 区 中 移动 某 个 指定 区 域 。 通 过 拖 放 鼠 标 指定 工作 区 的 某 个 区 
域 ,然后 在 工作 区 中 移动 该 区 域 。 当 需要 从 其 他 工具 中 退出 时 , 单 击 选 择 工具 。 

查看 工具 用 于 检查 网 络 设备 生成 的 控制 信息 ,如 路 由 器 路 由 表 、 交 换 机 转发 表 等 。 

注释 工具 用 于 在 工作 区 中 任意 位 置 添加 注释 。 

删除 工具 用 于 在 工作 区 中 删除 某 个 网 络 设备 。 

绘图 工具 用 于 在 工作 区 绘制 各 种 图 形 ,如 直线 .正方形 ,长 方形 和 椭圆 形 等 。 

调整 图 形 大 小 工具 用 于 任意 调整 通过 绘图 工具 绘制 的 图 形 大 小 。 

简单 报 文 工 具 用 于 在 选中 的 发 送 终端 与 接收 终端 之 间 启 动 一 次 ping 操作 。 

复杂 报 文 工 具 用 于 在 选中 的 发 送 终端 与 接收 终端 之 间 启 动 一 次 报 文 传输 过 程 , 报 文 
类 型 和 格式 可 以 由 用 户 设 定 。 

4. 工作 区 

作为 逻辑 工作 区 时 ,用 于 设计 网 络 拓扑 结构 配置 网 络 设备 ,检测 端 到 端 连通 性 等 ; 作 
为 物理 工作 区 时 ,给 出 城市 布局 \ 城 市 内 建筑 物 布局 和 建筑 物 内 配 线 间 布局 等 。 

5. 工作 区 选择 栏 

工作 区 选择 栏 用 于 选择 物理 工作 区 和 逻辑 工作 区 。 

物理 工作 区 中 可 以 设置 配 线 间 所 在 建筑 物 或 城市 的 物理 位 置 ,网 络 设备 可 以 放置 在 
各 个 配 线 间 中 ,也 可 以 直接 放置 在 城市 中 。 

人 逻辑 工作 区 中 给 出 各 个 网 络 设备 之 间 的 连接 状况 和 拓扑 结构 。 可 以 通过 物理 工作 区 和 你 
辑 工作 区 的 结合 检测 互连网 络 设备 的 传输 媒体 的 长 度 是 否 符合 标准 要 求 ,如 一 旦 互 连 两 个 网 
络 设备 的 双 绞 线 缆 长 度 超过 100m, 则 两 个 网 络 设备 连接 该 双 绞 线 缆 的 端口 将 自动 关闭 。 

6. 模式 选择 栏 

模式 选择 栏 用 于 选择 实时 操作 模式 和 模拟 操作 模式 。 

实时 操作 模式 可 以 验证 网 络 任何 两 个 终端 之 间 的 连通 性 。 

模拟 操作 模式 可 以 给 出 分 组 端 到 端 传输 过 程 中 的 每 一 个 步 又 ,以 及 每 一 个 步骤 涉及 
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的 报 文 类 型 . 报 文 格式 和 报 文 处 理 流程 。 

7. 设备 类 型 选择 框 

设计 网 络 时 ,可 以 选择 多 种 不 同类 型 的 Cisco 网 络 设备 。 设 备 类 型 选择 框 用 于 选择 
网 络 设备 的 类 型 ,设备 类 型 选择 框 中 给 出 的 网 络 设备 类 型 有 Routers( 路 由 器 ) .Switches 
(交换 机 )、Hubs (集线器 )、Wireless Devices (无 线 设备 )、Connections (连接 线 )、End 
Devices Z 9p it ) , Security (安全 设备 )、Wan Emulation( 广 域 网 仿真 设备 ) 和 Custom 
Made Devices( 定 制 设备 ) 等 。 

广域网 仿真 设备 用 于 仿真 广域网 ,如 公共 交换 电话 网 (Public Switched Telephone 
Network. PSTN) 、 非 对 称 数字 用 户 线 (Asymmetric Digital Subscriber Line,ADSL) 等 。 

定制 设备 用 于 用 户 创建 根据 特定 需求 完成 模块 配置 的 设备 ,如 安装 无 线 网 卡 的 终端 、 
安装 扩展 接口 的 路 由 器 等 。 

8. 设备 选择 框 

设备 选择 框 用 于 选择 指定 类 型 的 网 络 设备 型 号 ,如 果 在 设备 类 型 选择 框 中 选中 路 由 
器 , 则 可 以 通过 设备 选择 框 选择 Cisco 各 种 型 号 的 路 由 器 。 

9. 用户 创建 分 组 窗口 

为 了 检测 网 络 任意 两 个 终端 之 间 的 连通 性 ,需要 生成 端 到 端 传 输 的 分 组 。 为 了 模拟 
协议 操作 过 程 和 分 组 端 到 端 传输 过 程 中 的 每 一 个 步骤 ,也 需要 生成 分 组 ,并 启动 分 组 端 到 
端 传输 过 程 。 用 户 创 建 分 组 窗口 用 于 用 户 创 建 分 组 并 启动 分 组 端 到 端 传输 过 程 。 
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工作 区 可 以 分 为 逻辑 工作 区 和 物理 工作 区 。 

1. 逻辑 工作 区 

启动 Packet Tracer 后 ,自动 选择 逻辑 工作 区 ,如 图 1. 1 所 示 。 可 以 在 逻辑 工作 区 中 
放置 和 连接 设备 ,完成 设备 配置 和 调试 过 程 。 逻 辑 工作 区 中 的 设备 之 间 只 有 逮 辑 关系 , 没 
有 物理 距离 的 概念 。 因 此 ,对 于 需要 确定 设备 之 间 物 理 距离 的 网 络 实验 ,需要 切换 到 物理 
工作 区 后 进行 。 

2. 物理 工作 区 

工作 区 选择 为 物理 工作 区 时 ,用 于 给 出 城市 间 地 理 关 系 , 每 一 个 城市 内 建筑 物 布局 , 建 
筑 物 内 配 线 间 布局 等 ,如 图 1.2 所 示 。 当 然 ,也 可 以 直接 在 城市 中 某 个 位 置 放置 配 线 间 和 网 
络 设备 。<New City 之 按钮 用 于 在 物理 工作 区 创建 一 座 新 的 城市 ,同样 ,<New Building, 
New Closet> 按 钮 用 于 在 物理 工作 区 创建 一 栋 新 的 建筑 物 和 一 间 新 的 配 线 间 。 一 般 情况 
下 ,在 指定 城市 中 创建 并 放置 新 的 建筑 物 , 在 指定 建筑 物 中 创建 并 放置 新 的 配 线 间 。 

逻辑 工作 区 中 创建 的 网 络 所 关联 的 设备 初始 时 全 部 放置 于 Home City( 家 园 城市 ) 中 
Corporate Office( 公 司 办 公 楼 ) 内 的 Main Wiring Closet( 主 配 线 间 ) 中 ,可 以 通过 二 Move 
Object 之 菜单 完成 网 络 设备 配 线 间 之 间 的 移动 ,也 可 直接 将 设备 移动 到 城市 中 。 当 两 个 
互 连 的 网 络 设备 放置 在 不 同 的 配 线 间或 城市 不 同位 置 时 ,可 以 计算 出 互 连 这 两 个 网 络 设 
备 的 传输 媒体 的 长 度 。 如 果 启 动物 理工 作 区 距离 和 逮 辑 工作 区 设备 之 间 连 通 性 之 间 的 关 
联 ,一 旦 互 连 两 个 网 络 设备 的 传输 媒体 距离 超出 标准 要 求 , 则 两 个 网 络 设备 连接 该 传输 媒 
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Packet Tracer 操作 模式 分 为 实时 操作 模式 和 模拟 操作 模式 。 

1. 实时 操作 模式 

实时 操作 模式 仿真 网 络 实际 运行 过 程 ,用 户 可 以 检查 网 络 设备 配置 ,转发 表 、 路 由 表 
等 控制 信息 ,通过 发 送 分 组 检测 端 到 端 连 通 性 。 实 时 操作 模式 下 ,完成 网 络 设备 配置 过 程 
后 ,网 络 设备 自动 完成 相关 协议 执行 过 程 。 

2. 模拟 操作 模式 

在 模拟 操作 模式 下 , 用户 可 以 观察 、 分 析 分 组 端 到 端 传输 过 程 中 的 每 一 个 步骤 。 
图 1.3 所 示 是 模拟 操作 模式 的 用 户 界面 ,Event List( 事 件 列表 ) 给 出 封装 协议 数据 单元 
(Protocol Data Unit,PDU) 的 报 文 或 分 组 的 逐 段 传输 过 程 , 单 击 事件 列表 中 某 个 报 文 ,可 
以 查看 该 报 文 内 容 和 格式 。Scenario( 人 情节) 用 于 设 定 模拟 操作 模式 需要 模拟 的 过 程 ,如 
分 组 的 端 到 端 传输 过 程 。<<Auto Capture/Play> 按 钮 用 于 启动 整个 模拟 操作 过 程 , 该 按 
钮 下 面 的 滑动 条 用 于 控制 模拟 操作 过 程 的 速度 。 二 Capture/ Forward 这 按钮 用 于 单 步 推 
进 模拟 操作 过 程 。 二 Back> 按 钮 用 于 回 到 上 一 步 模拟 操作 结果 。Edit Filters( 编 辑 过 滤 
器 ) 菜 单 用 于 选择 协议 ,模拟 操作 过 程 中 ,事件 列表 中 将 只 列 出 选中 的 协议 所 对 应 
的 PDU, 

由 于 通过 单 击 事件 列表 中 的 报 文 或 分 组 可 以 详细 分 析 报 文 或 分 组 格式 ,对 应 段 中 相 
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图 1.3 模拟 操作 模式 


关 网 络 设备 处 理 该 报 文 或 分 组 的 流程 和 结果 。 因 此 ,模拟 操作 模式 是 找 出 网 络 不 能 正常 
工作 的 原因 的 理想 工具 ,同时 ,也 是 初学 者 深入 了 解 协议 操作 过 程 和 网 络 设备 处 理 报 文 或 
分 组 的 流程 的 理想 工具 ,模拟 操作 模式 是 实际 网 络 环境 无 法 提供 的 学 习 工 具 。 

值得 指出 的 是 ,在 模拟 操作 模式 下 ,需要 用 户 手工 推进 网 络 设备 的 协议 执行 过 程 ,因此 ， 
完成 网 络 设备 配置 过 程 后 ,可 能 需要 用 户 完成 多 个 推进 步骤 后 ,才能 看 到 协议 执行 结果 。 


1.1.5 设备 类 型 和 配置 方式 


Packet Tracer 提供 了 设计 复杂 互连网 络 可 能 涉及 的 网 络 设备 类 型 ,如 路 由 器 、 交 换 
机 、 集 线 器 ,无 线 设备 .连接 线 .终端 设备 .安全 设备 ,广域网 仿真 设备 等 ,其 中 广域网 仿真 
设备 用 于 仿真 广域网 ,如 PSTN、ADSL、 帧 中 继 等 ,通过 广域网 仿真 设备 可 以 设计 出 以 广 
域 网 为 互 连 路 由 器 的 传输 网 络 的 复杂 互连网 络 。 

一 般 在 逻辑 工作 区 和 实时 操作 模式 下 进行 网 络 设计 ,如 果 用 户 需 要 将 某 个 网 络 设备 
放置 到 工作 区 中 ,用 户 在 设备 类 型 选择 框 中 选择 特定 设备 类 型 (如 路 由 器 ), 然 后 在 设备 选 
择 框 中 选择 特定 设备 型 号 (如 Cisco 1841 路 由 器 ) , 按 住 鼠 标 左 键 将 其 拖 放 到 工作 区 的 任 
意 位 置 ,释放 鼠标 左 键 。 单 击 网 络 设备 便 可 进入 网 络 设备 的 配置 界面 ,每 一 个 网 络 设备 通 
常 有 Physical( 物 理 )、Config( 图 形 接口 )、CLI( 命 令 行 接口 ) 三 个 配置 选项 。 

1. 物理 配置 选项 

Physical( 物 理 ) 配 置 用 于 为 网 络 设备 选择 可 选 模块 ,图 1.4 所 示 是 路 由 器 1841 的 物 
理 配置 界面 ,可 以 为 路 由 器 的 两 个 插 模 选择 模块 。 为 了 将 某 个 模块 放 入 插 模 , 需 要 先 关闭 
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电源 ,然后 选 定 模块 , 按 住 鼠标 左 键 将 其 拖 放 到 指定 插 槽 ,释放 鼠标 左 键 。 如 果 需 要 从 某 
个 插 模 取 走 模 块 ,同样 也 是 先 关闭 电源 ,然后 选 定 某 个 插 槽 模块 , 按 住 鼠 标 左 键 将 其 拖 放 
到 模块 所 在 位 置 ,释放 鼠标 左 键 。 插 槽 和 可 选 模块 允许 用 户 根据 实际 网 络 应 用 环境 扩展 
网 络 设备 的 接口 类 型 和 数量 。 
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The HWIC-2T is a Cisco 2-Port Serial High-Speed WAN Interface Card, 
providing 2 serial ports. 
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2. 图 形 接口 配置 选项 

Config( 图 形 ) 接 口 为 初学 者 提供 方便 、 易 用 的 网 络 设备 配置 方式 ,是 初学 者 入 门 的 捷 
径 。 图 1.5 所 示 是 路 由 器 1841 图 形 接口 的 配置 界面 ,初学 者 很 容易 通过 图 形 接口 配置 路 
由 器 接口 的 IP 地址、 子 网 掩 码 ,配置 路 由 器 静态 路 由 项 等 。 图 形 接口 不 需要 初学 者 掌握 
Cisco 互联 网 操作 系统 (Internetwork Operating System,1OS) 命 令 就 能 完成 一 些 基 本 功 
能 的 配置 过 程 , 且 配置 过 程 直观 ,简单 ,容易 理解 。 更 重要 的 是 ,在 用 图 形 接口 配置 网 络 设 
备 的 同时 ,Packet Tracer 可 给 出 完成 同样 配置 过 程 需要 的 IOS 命令 序列 。 

通过 图 形 接口 提供 的 基本 配置 功能 ,初学 者 可 以 完成 简单 网 络 的 设计 和 配置 过 程 , 观 
察 简单 网 络 的 工作 原理 和 协议 操作 过 程 , 以 此 验证 教学 内 容 。 但 随 着 教学 内 容 的 深入 和 
网 络 复杂 程度 的 提高 ,要 求 读者 能 够 通过 CLI( 命 令 行 接 口 ) 配 置 网 络 设备 的 一 些 复杂 功 
能 。 因 此 ,初学 时 可 用 图 形 接口 和 命令 行 接口 两 种 配置 方式 完成 网 络 设备 的 配置 过 程 , 通 
过 相互 比较 ,进一步 加 深 对 Cisco IOS 命令 的 理解 , 随 着 教学 内 容 的 深入 ,要 强调 用 命令 
行 接口 完成 网 络 设备 的 配置 过 程 。 

3. 命令 行 接口 配置 选项 

CLI( 命 令 行 接口 ) 提 供与 实际 Cisco 设备 完全 相同 的 配置 界面 和 配置 过 程 ,因此 是 读 
者 需要 重点 掌握 的 配置 方式 。 掌握 这 种 配置 方式 的 难点 在 于 需要 读者 掌握 Cisco IOS 命 
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1P Configuration 
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Equivalent IOS Commands. 





Router (config-if)f 
SLINK-5-CHANGED: Interface FastEthernet0/0, changed state to up 


SLINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to 


up 
ip address 192.1.1.254 255.255.255.0 
Router (config-if)f 





图 1.5 图 形 接口 配置 界面 


令 , 并 灵活 运用 这 些 命令 。 因 此 ,在 以 后 章节 中 不 仅 对 用 到 的 Cisco IOS 命令 进行 解释 ， 
还 对 命令 的 使 用 方式 进行 讨论 ,让 学 生 对 Cisco IOS 命令 有 较为 深入 的 理解 。 图 1. 6 所 
示 是 命令 行 接口 的 配置 界面 。 
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一 System Configuration Dialog -一 


Continue with configuration dialog? [yes/no]: n 


Press RETURN to get started! 


Router»enable 
Bouterfconfigure terminal 

Enter configuration commands, one per line. End with CNIL/2. 
Router(config)finterface FastZthernet(/0 

Router (config-if)f 

Router (config-if)fexit 

Router(config)finterface FastEthernet0/0 
Router(config-if)fno shutdown 


Router (config-if)t 
SLINK-5-CHANGED: Interface FastEthernet0/0, changed state to up 


SLINEPROTO-S-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to 


up 
ip address 192.1.1.254 255.255.255.0 
Router (config-if)f 


























L6 命令 行 接口 配置 界面 
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本 节 只 对 Packet Tracer 6. 2 做 一 些 基 本 介绍 ,利用 Packet Tracer 6. 2 构建 一 个 运 
网 络 设备 或 安全 设备 具有 的 各 种 安全 功能 解决 实际 网 络 安 全 问题 的 网 络 环境 的 步骤 和 方 
法 ,将 在 以 后 讨论 具体 网 络 安全 实验 时 再 予以 详细 讲解 。 


1.2 IOS 命令 模式 




















可 以 将 Cisco 网 络 设备 看 作 专用 计算 机 系统 , 它 同 样 由 硬件 系统 和 软件 系统 组 成 ,其 
核心 系统 软件 是 互联 网 操作 系统 。IOS 用 户 界面 是 命令 行 接口 界面 ,用 户 通过 输入 命令 
实现 对 网 络 设备 的 配置 和 管理 。 为 了 安全 ,IOS 提供 三 种 命令 行 模式 ,分 别 是 User mode 
(用 户 模式 ) .Privileged mode( 特 权 模式 ) 和 Global mode( 全 局 模式 ) ,不 同 模式 下 ,用 户 具 
有 不 同 的 配置 和 管理 网 络 设备 的 权限 。 


1.2.1 用 户 模式 


用 户 模式 是 权限 最 低 的 命令 行 模 式 ,用 户 只 能 通过 命令 查看 一 些 网 络 设备 的 状态 , 没 
有 配置 网 络 设备 的 权限 ,也 不 能 修改 网 络 设备 状态 和 控制 信息 。 用 户 登 录 网 络 设备 后 , 立 
即 进入 用 户 模 式 ,图 1.7 所 示 是 用 户 模式 可 以 输入 的 命令 列表 。 用 户 模式 下 的 命令 提示 
fH: 


Router» 


| Physical | Config | cu 





Technical Support: http://www.cisco.com/techsupport 
Copyright (c) 1986-2007 by Cisco Systems, Inc. 
Compiled Wed 18-Jul-07 04:52 by pt team 


terface Fastfthernet0/0, changed state to 











图 1.7 用 户 模式 命令 提示 符 和 命令 列表 


Router 是 路 由 器 默认 的 主机 名 ,全 局 模式 下 可 以 通过 命令 hostname 修改 默认 的 主 
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机 名 。 如 在 全 局 模式 下 (全 局 模式 下 的 命令 提示 符 为 Router (config) # ) 输 入 命令 
hostname routerabc 后 ,用 户 模 式 的 命令 提示 符 变 为 如 下 : 


routerabc» 


在 用 户 模式 命令 提示 符 下 ,用 户 可 以 输入 图 1. 7 所 列 出 的 命令 ,命令 格式 和 参数 在 以 
后 完成 具体 网 络 安全 实验 时 讨论 。 需 要 指出 的 是 ,图 1.7 所 列 出 的 命令 不 是 配置 网 络 设 
备 、 修 改 网 络 设备 状态 和 控制 信息 的 命令 。 


122 特权 模式 


通过 在 用 户 模式 命令 提示 符 下 输入 命令 enable, 进 入 特权 模式 。 图 1. 8 所 示 是 特权 
模式 下 可 以 输入 的 部 分 命令 列表 。 为 了 安全 ,可 以 在 全 局 模式 下 通过 命令 enable 
password abc 设置 进入 特权 模式 的 口令 abc。 一 旦 设置 口令 ,在 用 户 模式 命令 提示 符 下 ， 
不 仅 需要 输入 命令 enable, 还 需 输入 口令 ,如 图 1. 8 所 示 。 特 权 模 式 的 命令 提示 符 如 下 : 


Router# 


Router 是 路 由 器 默认 的 主机 名 。 特 权 模式 下 ,用 户 可 以 修改 网 络 设备 的 状态 和 控制 
信息 ,如 MAC Table( 交 换 机 转发 表 ) 等 ,但 不 能 配置 网 络 设备 。 
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图 1.8 特权 模式 命令 提示 符 和 部 分 命令 列表 


123 全 局 模式 


通过 在 特权 模式 命令 提示 符 下 输入 命令 configure terminal ,进入 全 局 模式 ,图 1. 9 所 
示 是 从 用 户 模 式 进 入 全 局 模式 的 过 程 和 全 局 模式 下 可 以 输入 的 部 分 命令 列表 。 全 局 模式 
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的 命令 提示 符 如 下 : 
Router (config) # 


Router 是 路 由 器 默认 的 主机 名 。 全 局 模式 下 ,用 户 可 以 对 网 络 设备 进行 配置 ,如 配 
置 路 由 器 的 路 由 协议 和 参数 ,对 交换 机 基于 端口 划分 VLAN 等 。 

全 局 模式 下 用 于 完成 对 整个 网 络 设备 有 效 的 配置 ,如 果 需 要 完成 对 网 络 设备 部 分 功 
能 块 的 配置 ,如 路 由 器 某 个 接口 的 配置 ,需要 从 全 局 模式 进入 这 些 功能 块 的 配置 模式 ,从 
全 局 模式 进入 路 由 器 接口 FastEthernet0/0 的 接口 配置 模式 需要 输入 的 命令 及 路 由 器 接 
口 配置 模式 的 命令 提示 符 如 下 


Router (config)finterface FastEthernet0/0 


Router (config-if)# 


124 IOS 帮助 工具 


1. 查找 工具 

如 果 忘 记 某 个 命令 或 命令 中 的 某 个 参数 ,可 以 通过 输入 “?” 完 成 查找 过 程 。 在 某 种 模 
式 命令 提示 符 下 ,通过 输入 *?”, 界 面 将 显示 该 模式 下 允许 输入 的 命令 列表 。 如 图 1. 9 所 
示 , 在 全 局 模式 命令 提示 符 下 输入 *?”, 界 面 将 显示 全 局 模式 下 人 允许 输入 的 命令 列表 ,如 果 
单 页 显示 不 完 , 则 分 页 显示 。 
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IEZE 802.11 config commands 
Modify enable password parameters 
Exit from configure mode 








图 1.9 全 局 模式 命令 提示 符 和 部 分 命令 列表 


在 某 个 命令 中 需要 输入 某 个 参数 的 位 置 输入 “?”, 界 面 将 列 出 该 参数 的 所 有 选项 。 命 
令 router 用 于 为 路 由 器 配置 路 由 协议 ,如 果 不 知道 如 何 输入 选择 路 由 协议 的 参数 ,在 需 
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要 输入 选择 路 由 协议 的 参数 的 位 置 输入 “?”, 界 面 将 列 出 该 参数 的 所 有 选项 。 以 下 是 显示 
选择 路 由 协议 的 参数 的 所 有 选项 的 过 程 。 


Router (config)#router? 
bgp Border Gateway Protocol (BGP) 
eigrpEnhanced Interior Gateway Routing Protocol (EIGRP) 
ospf Open Shortest Path First (OSPF) 
rip Routing Information Protocol (RIP) 


Router (config)frouter 


2， 命 令 和 参数 允许 输入 部 分 字符 

无 论 是 命令 还 是 参数 ,IOS 都 不 要 求 输入 完整 的 单词 ,只 需要 输入 单词 中 的 部 分 字 
符 , 只 要 这 一 部 分 字符 能 够 在 命令 列表 或 参数 的 所 有 选项 中 能 够 唯一 确定 某 个 命令 或 参 
数 选项 。 如 在 路 由 器 中 配置 RIP 路 由 协议 的 完整 命令 如 下 s 


Router (config)frouter rip 


Router (config-router)t 


但 无 论 是 命令 router, 还 是 选择 路 由 协议 的 参数 rip 都 不 需要 输入 完整 的 单词 ,而 只 
需要 输入 单词 中 的 部 分 字符 ,如 下 所 示 : 


Router (config)#ro r 


Router (config-router)# 


由 于 全 局 模式 下 的 命令 列表 中 没有 两 个 以 上 前 两 个 字符 是 “ro" 的 命令 ,因此 ,输入 
“ro" 已 经 能 够 使 IOS 确定 唯一 命令 router。 同 样 ,路 由 协议 的 所 有 选项 中 没有 两 个 以 上 
是 以 字符 *r" 开 头 的 选项 ,因此 ,给 入 *r" 已 经 能 够 使 IOS 确定 唯一 rip 选项 。 

3. 历史 命令 缓存 

通过 [人 ] 键 可 以 查找 以 前 使 用 的 命令 ,通过 [一 ] 和 【一 ] 刍 可 以 将 光标 移动 到 命令 中 
需要 修改 的 位 置 。 如 果 某 个 命令 需要 输入 多 次 ,每 次 输入 时 ,只 有 个 别 参数 不 同 ,无 须 每 
一 次 全 部 重新 输入 命令 及 参数 ,可 以 通过 [ + ] 键 显示 上 一 次 输入 的 命令 ,通过 [<-] 键 移动 
光标 到 需要 修改 的 位 置 ,对 命令 中 需要 修改 的 部 分 进行 修改 。 


125 取消 命令 过 程 
在 命令 行 接口 配置 方式 下 ,如 果 输 入 的 命令 有 错 ,需要 取消 该 命令 ,在 原 命令 相同 的 


命令 提示 符 下 ,可 输入 命令 no 需要 取消 的 命令 。 
若 以 下 是 创建 编号 为 3 的 VLAN 的 命令 : 


Switch (config)#vlan 3 
则 以 下 是 删除 已 经 创建 的 编号 为 3 的 VLAN 的 命令 : 
Switch (config)#no vlan 3 


车 以 下 是 用 于 关闭 路 由 器 接口 FastEthernet0/0 的 命令 序列 : 
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Router (config)finterface FastEthernet0/0 


Router (config-if)$ shutdown 
则 以 下 是 用 于 开启 路 由 器 接口 FastEthernet0/0 的 命令 序列 : 


Router (config)#interface FastEthernet0/0 

Router (config-if)#no shutdown 

若 以 下 是 用 于 为 路 由 器 接口 FastEthernet0/0 配置 IP 地 址 192. 1. 1.254 和 子 网 掩 码 
255. 255. 255. 0 的 命令 序列 : 





Router (config)#interface FastEthernet0/0 
Router (config-if)fip address 192.1.1.254 255.255.255.0 


则 以 下 是 取消 为 路 由 器 接口 FastEthernet0/0 配置 的 TP 地 址 和 子 网 掩 码 的 命令 
序列 : 


Router (config)#interface FastEthernet0/0 
Router (config-if)#no ip address 192.1.1.254 255.255.255.0 


网 络 攻击 实验 


知已 知 彼 , 百 战 不 芥 。 了 解 网 络 攻击 原理 和 过 程 是 为 了 能 够 更 好 地 抵御 网 络 攻击 。 
同时 ,通过 了 解 网 络 攻击 过 程 ,可 以 更 深刻 地 理解 网 络 协议 工作 机 制 和 当前 网 络 技术 存在 
的 一 此 缺陷。 


2.1 集线器 和 嗅 探 攻击 实验 


2.1.1 实验 内 容 


正常 网 络 结构 如 图 2. 1(a) 所 示 ,终端 A 和 终端 B 连 接 在 交换 机 上 ,交换 机 和 路 由 器 
相连 ,终端 A 和 终端 B 可 以 通过 交换 机 向 路 由 器 发 送 MAC 帧 。 如 果 黑 客 需 要 嗅 探 终端 
A 和 终端 B 发 送 给 路 由 器 的 MAC 帧 ,可 以 在 路 由 器 和 交换 机 之 间 插 入 一 个 集线器 ,并 在 
集线器 上 连接 一 个 黑客 终端 ,如 图 2. 1(b) 所 示 。 这 种 情况 下 ,黑客 终端 可 以 嗅 探 所 有 终 
A A 和 终端 B 与 路 由 器 之 间 传 输 的 MAC 帧 。 











路 由 器 
路 由 器 
192.1.1.254/24 
192.1.1.254/24 
终端 A 终端 B 终端 A 终端 B 
192.1.1.1/24 192.1.1.2/24 192.1.1.1/24 192.1.1.2/24 
(a) 正常 网 络 结构 (b) 插入 集线器 后 的 网 络 结构 





图 2.1 利用 集线器 实施 嗅 探 攻击 过 程 


2.1.2 实验 目的 
(1) 验证 利用 集线器 实施 嗅 探 攻 击 的 过 程 。 
(2) 验证 嗅 探 攻击 不 会 影响 正常 的 MAC 帧 传输 过 程 。 
(3) 验证 嗅 探 攻击 对 于 源 和 目的 终端 是 透明 的 。 
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集线器 是 广播 设备 ,从 某 个 端口 接收 到 MAC 帧 后 除了 接收 该 MAC 帧 的 端口 以 外 
的 所 有 其 他 端口 输出 该 MAC 帧 。 因 此 , 当 集线器 从 连接 交换 机 的 端口 接收 到 MAC di 
后 ,将 从 连接 路 由 器 和 黑客 终端 的 端口 输出 该 MAC 帧 ,该 MAC 帧 同时 到 达 路 由 器 和 黑 
客 终端 ,如 图 2. 2(a) 所 示 的 嗅 探 终 端 A 发 送 给 路 由 器 的 MAC 帧 的 过 程 。 同 样 , 当 集 线 
器 从 连接 路 由 器 的 端口 接收 到 MAC 帧 后 ,将 从 连接 交换 机 和 黑客 终端 的 端口 输出 该 
MAC 帧 ,该 MAC 帧 同时 到 达 交 换 机 和 黑客 终端 ,如 图 2. 2(b) 所 示 的 嗅 探 路 由 器 发 送 给 
终端 也 的 MAC 帧 的 过 程 。 











终端 A 终端 B 终端 A 终端 B 
192.1.1.1/24 — 192.1124 192.1.1.1/24 — 192.1.1224 
一 一 : 终端 A 至 路 由 器 的 MAC 帧 一 一 : 路 由 器 至 终端 B 的 MAC 帧 
(a) 嗅 探 终端 A 至 路 由 器 的 MAC 帧 (b) 嗅 探 路 由 器 至 终端 B 的 MAC 帧 
图 2.2 嗅 探 原理 
214 实验 步骤 


(1) 启动 Packet Tracer, 在 逻辑 工作 区 根据 如 图 2. 1(a) 所 示 的 网 络 结构 放置 和 连接 
设备 ,分 别 将 PCO 和 PCI 用 直通 线 (Copper Straight-Through) 连接 到 交换 机 Switch 的 
FastEthernet0/1 和 FastEthernet0/2 端口 。 然 后 ,用 直通 线 连 接 交 换 机 Switch 的 
FastEthernet0/3 端口 和 路 由 器 Router 的 FastEthernet0/0 接口 。 完 成 设备 放置 和 连接 
后 的 逻辑 工作 区 界面 如 图 2. 3 所 示 。 

(2) 完成 PC0“*Desktop( 桌 面 )”>“IP Configuration (IP 配置 )” 操 作 过 程 ,弹出 如 图 
2.4 所 示 的 PCO 网 络 信息 配置 界面 ,在 IP Address (P 地 址 栏 ) 中 输入 PCO 的 IP 地 址 
192.1.1.1, 在 Subnet Mask( 子 网 掩 码 栏 ) 中 输入 PC0 的 子 网 掩 码 255. 255. 255. 0, 在 
Default Gateway( 默 认 网 关 地 址 栏 ) 中 输入 PCO 的 默认 网 关 地 址 192. 1. 1. 254 ,该 地 址 也 
是 路 由 器 Router 的 FastEthernet0/0 接口 的 IP 地 址 。 需 要 说 明 的 是 ,由 于 本 实验 只 需要 
实现 同一 以 太 网 内 两 个 结 点 之 间 的 通信 过 程 , 因 此 ,可 以 不 配置 PC0 和 PCI 的 默认 网 关 
地 址 。 依 此 完成 PC1 网 络 信息 配置 过 程 。 

(3) 完成 路 由 器 Router* 配 置 (Config)”->“FastEthernet0/0 接口 (FastEthernet0/ 
0)? 操 作 过 程 ,弹出 如 图 2. 5 所 示 的 路 由 器 Router FastEthernet0/0 接口 配置 界面 ,MAC 
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[rm Desktop |.Seftware/Senvices. 
IP Configuration [x] If 1 
IP Configuration 
© DHCP @ Static 
1P Address 192.1.1.1 
Subnet Mask 255.255.255.0 











Default Gateway 192.1.1.254 








DNS Server 





IPv6 Configuration 
© DHCP © Auto Config 回 Static 
IPv6 Address / F 

















Link Local Address |FE80: :2D0:58FF:FE2B:284 








1Pv6 Gateway 








IPv6 DNS Server 











图 2.4 PC0 网 络 信息 配置 界面 


Address(MAC 地 址 栏 ) 中 给 出 的 是 该 接口 的 MAC 地 址 ,在 IJP Address(IP 地 址 栏 ) 中 输 
和 人 该 接口 的 了 P 地 址 192. 1.1. 254, 该 IP 地 址 也 是 该 接口 所 连接 的 网 络 中 的 终端 PCO 和 
PCI 的 默认 网 关 地 址 。 在 Subnet Mask( 子 网 掩 码 栏 ) 中 输入 该 接口 的 子 网 掩 码 255. 255. 
255, 05 

(4) 完成 终端 和 路 由 器 接口 配置 过 程 后 ,通过 简单 报 文 工 具 确定 PCO 和 PCI 与 路 由 
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FastEthernet0/0 
rt Status F on 
dwidth @ 100 Mbps © 10 Mbps IV] Auto 

uplex ® Half Duplex © Full Duplex VI Auto 

C Address (0004.9A04.0D01 

IP Configuration 

1P Address 192.1.1.254 

Subnet Mask 255.255.255.0 
Tx Ring Limit 10 









































Equivalent IOS Commands 





Router (config-if)t 
SLINK-5-CHANGED: Interface Fastfthernet0/0, changed state to up 


SLINEPROTO-S-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to 
up 

ip address 192.1.1.254 255.255.255.0 

Router (config-if)t 





图 2.5 路 由 器 接口 配置 界面 


器 Router 之 间 的 连通 性 。 

(5) 按照 如 图 2. 1(b) 所 示 的 网 络 结构 ,在 交换 机 Switch 和 路 由 器 Router 之 间接 入 
一 个 集线器 Hub ,并 将 黑客 终端 hack 连接 到 集线器 Hub 上 。 完 成 连接 后 ,逻辑 工作 区 界 
面 如 图 2.6 所 示 。 
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图 2.6 ”插入 集线器 后 的 逻辑 工作 区 界面 
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(6) 通过 简单 报 文 工 具 确定 PCO 和 PCI 与 路 FE mmm 
由 器 Router 之 间 的 连通 性 ,以 此 证 明 插入 的 集线器 E i 
Hub 和 黑客 终端 hack 对 于 PCO,PCI 和 路 由 器 | 网 mm Fi oser 
Router 是 透明 的 。 

(7) 切换 到 模拟 操作 模式 ,进入 “Edit Filters" 
配置 界面 , 勾 选 ICMP (Internet 控制 报 文 协 议 ), 如 
图 2.7 所 示 。 一 旦 勾 选 ICMP, 可 以 查看 终端 与 路 
由 器 之 间 ICMP 报 文 的 传输 过 程 。 通 过 简单 报 文 工 
具 启 动 PCO 至 路 由 器 Router 的 ICMP 报 文 传输 过 
程 。 如 图 2.8 所 示 ,集线器 Hub 不 仅 把 ICMP 报 文 
转发 给 路 由 器 Router, 同时 ,将 ICMP 报 文 转发 给 Ei itara) 
黑客 终端 hack, 黑 客 终端 hack 成 功 嗅 探 PC0 发 送 2.7 勾 选 ICMP 协议 界面 
给 路 由 器 Router 的 ICMP 报 文 。 
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图 2.8 黑客 终端 hack 成 功 嗅 探 PC0 发 送 给 Router 的 ICMP 报 文 的 过 程 


2.2 MAC 地 址 欺骗 攻击 实验 


2.2.1 实验 内 容 


以 太 网 结构 如 图 2. 9 所 示 ,交换 机 建立 完整 转发 表 后 ,终端 B 发 送 给 终端 A 的 MAC 
帧 只 到 达 终端 A。 如 果 终 端 C 将 自己 的 MAC 地 址 改 为 终端 A 的 MAC 地 址 MAC A. RF. 


Bes “网 络 攻击 实验 e^ 


向 终端 B 2235 — ti MAC 帧 , 则 终端 也 再 向 终端 A 发 送 MAC 帧 时 ,终端 B 发 送 给 终端 A 






































的 MAC 帧 不 是 到 达 终 端 A, 而 是 到 达 终 s2 
端 C。 
2.2.2 实验 目的 
(1) 验证 交换 机 建立 MAC 表 ( 转 发 表 ) 
过 程 。 
(2) 验证 交换 机 转发 MAC 帧 机 制 。 J 
(3) 验证 MAC 地 址 欺骗 攻击 原理 。 终端 A p 终端 C 
(4) 掌握 MAC 地 址 欺骗 攻击 过 程 。 MACA MACB MACC 
192.1.1.1/24 192.1.1.2/24 192.1.1.3/24 
223 实验 原理 2.9 以 太 网 结构 


正常 传输 过 程 如 图 2.10(a) 所 示 , 当 交换 机 S1, S2 和 S3 建立 完整 转发 表 后 ,转发 
项 将 通 往 终端 A 的 交换 路 径 作 为 通 往 MAC 地 址 为 MAC A 的 终端 的 交换 路 径 , 因 此 ， 
终端 B 发 送 的 目的 MAC 地 址 为 MAC A hy MAC 帧 沿 着 通 往 终端 A 的 交换 路 径 到 达 
终端 A。 

如 果 终 端 C 将 自己 的 MAC 地 址 改 为 MAC A, 且 向 终端 BB 发 送 源 MAC 地 址 为 
MAC A 的 MAC 帧 ,交换 机 S1、S2 和 S3 的 转发 表 改 为 如 图 2. 10(b) 所 示 , 转 发 项 将 
通 往 终端 C 的 交换 路 径 作为 通 往 MAC 地 址 为 MAC A 的 终端 的 交换 路 径 ,因此 ,终端 
B 发 送 的 目的 MAC 地 址 为 MAC A 的 MAC 帧 沿 着 通 往 终端 C 的 交换 路 径 到 达 终 
端 C。 


S2 转 发 表 
MAC 地 址 ”转发 端口 















S1 转 发 表 
MAC 地 址 ”转发 端口 

MACA 1 

MACB 2 S3 转 发 表 

MACC 3 

MAC 地 址 ”转发 端口 

MACA 2 
MACB 2 
MACC 1 











192.1.1.1/24 192.1.1.224 192.1.1.324 
一 一 : 终端 B 至 终端 A 的 MAC 帧 
(a) 正常 传输 过 程 
2.10 MAC 地 址 欺骗 攻击 原理 
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S2 转 发 表 
MAC 地 址 ”转发 端口 
s2 MACA 2 
S1 转 发 表 MACB 1 
MAC 地 址 ”转发 端口 
MACA 3 
MACB S3 转 发 表 
MAC 地 址 ”转发 端口 
MACA 1 
MACB 2 
MACA 
192.1.1.1/24 192.1.1.2/24 192.1.1.3/24 
一 一 一 : 终端 B 至 终端 A 的 MAC 帧 
(b) 错误 传输 过 程 
图 2.10( 续 ) 
224 实验 步骤 


(1) 启动 Packet Tracer, 在 逻辑 工作 区 根据 如 图 2.9 所 示 的 网 络 结构 放置 和 连接 设 
备 ,终端 与 交换 机 之 间 用 直通 线 互 连 , 交 换 机 与 交换 机 之 间 用 Copper Cross-Over (EX 
线 ) 互 连 。 完 成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 如 图 2. 11 所 示 。 
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(2) 按照 如 图 2. 9 所 示 ,完成 PC0.PC1 和 PC2 的 IP 地 址 和 子 网 掩 码 配置 过 程 。 完 
Ji; PCO" Config (fd E) "—" FastEthernet0( FastEthernetO 接口 )? 操 作 过 程 , 弹 出 如 图 2. 12 


第 2 章 makis vex 


所 示 的 PC0 FastEthernet0 接口 配置 界面 ,其 中 MAC Address( MAC 地 址 栏 ) 中 显示 的 是 
PCO 的 MAC 地 址 0006. 2A2B. 865A, 


Physical Confg | Desktop.| Software/Services 








FastEthernet0 
ort Status 7 On 

se &) 100 Mbps © 10 Mbps E] Auto 
uplex Half Duplex 9) Full Duplex [V] Auto 

MAC Address 0006.2A28.865A 

IP Configuration 
© DHCP 

® Static 

IP Address [2:111 | 

Subnet Mask pssasasso i] 

IPv6 Configuration 
Ð DHCP 

D Auto Config 

8 Static 

IPv6 Address 

Link Local Address:|FEB0::206:2AFF:FE2B:865A 






























































图 2.12 PCO FastEthernet 接口 配置 界面 


(3) 完成 PCO, PCI 和 PC2 两 两 之 间 的 ICMP 报 文 传输 过 程 ,交换 机 Switch0、 
Switchl 和 Switch2 中 建立 的 完整 转发 表 分 别 如 图 2. 13、 图 2. 14 和 图 2. 15 所 示 。 
Switch0 转发 表 中 MAC 地 址 0006. 2A2B. 865A 对 应 的 转发 端口 是 该 交换 机 连接 PCO 的 
端口 FastEthernet0/1,Switchl 转发 表 中 MAC 地 址 0006. 2A2B. 865A 对 应 的 转发 端口 
是 该 交换 机 连接 交换 机 Switch0 的 端口 FastEthernet0/1。Switch2 转发 表 中 MAC 地 址 
0006. 2A2B. 865A 对 应 的 转发 端口 是 该 交换 机 连接 交换 机 Switchl 的 端口 
FastEthernet0/2。 显 然 , 所 有 交换 机 中 的 转发 项 将 通 往 PC0 的 交换 路 径 作为 通 往 MAC 
地 址 为 0006.2A2B. 865A 的 终端 的 交换 路 径 。 


Mac Address Port 
Mac Address Port 0006. 2A2B. 865A. FastEthernet0/1 
0001. 6308. 6901 FastEthernet0/3 000A. 4153. A476 FastEthernet0/1 
0006. 2A2B. 885A FastEthernet0/1 0060. 4745. 6402 FastEthernet0/2 
000A. 4153. MT6 FastEthernet0/2 0000. BC9C. CDC3 FastEthernet0/2 
0000. BC9C. CDC3 FastEthernet0/3 0020. 8F34. D003 FastEthernet0/1 





A 2.13 Switch0 转发 表 图 2.14 Switchl 转发 表 


Hac Address Port 
0001.6308.6902 FastEthernet0/2 


0006. 2A2B. 865A FastEthernet0/2 
000A. 4153. MTE FastEthernet0/2 
0000.BCSC_CDC3 FastEthernet0/1 





图 2.15 Switch2 $t E 
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(4) 切换 到 模拟 操作 模式 ,进入 “Edit Filters” 配 置 界面 , 勾 选 协 议 ICMP。 通 过 简单 报 文 
工具 启动 PCI 至 PCO 的 ICMP 报 文 传输 过 程 。 如 图 2. 16 所 示 , 该 ICMP 报 文 只 到 达 PCO. 
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图 2.16 PCI 至 PC0 ICMP 报 文 传输 过 程 


(5) 切换 到 实时 操作 模式 。 完 成 PC2"Config (fd ED "—" FastEthernet0 ( FastEthernetO 
接口 )" 操 作 过 程 ,弹出 如 图 2. 17 所 示 的 PC2 FastEthernet0 接口 配置 界面 ,将 MAC Address 
(MAC 地 址 栏 ) 中 的 MAC 地 址 改 为 PC0 的 MAC 地 址 0006. 2A2B. 865A。 
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2.17 将 PC2 8 MAC 地 址 改 为 PC0 的 MAC 地址 
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(6) 通过 简单 报 文 工 具 启 动 PC2 至 PC1 的 ICMP 报 文 传输 过 程 。 完 成 ICMP 报 文 
传输 过 程 后 , 交换 机 Switch0、Switchl 和 r 
Switch2 的 转发 表 分 别 如 图 2. 18 .图 2. 19 和 Mac Address Port 


lu : : . astEthernet0/: 
图 2.20 所 示 。Switch0 转发 表 中 MAC 地 址 EE penes dp un 





0006. 2A2B. 865A 对 应 的 转发 端口 改 为 该 交 ORT uet 

换 机 连接 Switchl 的 端口 FastEthernet0/3, 2.18 改变 后 的 Switch0 转发 表 
Switchl 转发 表 中 MAC 地 址 0006. 2A2B. 

865A 对 应 的 转发 端口 改 为 该 交换 机 连接 交换 机 Switch2 的 端口 FastEthernet0/2。 
Switch2 转发 表 中 MAC 地 址 0006. 2A2B. 865A 对 应 的 转发 端口 改 为 该 交换 机 连接 PC2 
的 端口 FastEthernet0/1。 显 然 , 所 有 交换 机 中 的 转发 项 将 通 往 PC2 的 交换 路 径 作 为 通 
fk MAC 地 址 为 0006.2A2B. 865A 的 终端 的 交换 路 径 。 


Mac Address Port ai 
0006. 2A2B. 865A FastEthernet0/2 Mac Address Port 

000A. 4153. A476 FastEthernet0/1 0001. 6306. 6902 FastEthernet0/2 
0060. 4745. 6A02 FastEthernet0/2 0006. 2A2B. 865A FastEthernet0/1 
0020. 8F34. D003 FastEthernet0/1 000A. 4153. A476 FastEthernet0/2 





2.19 改变 后 的 Switchl 转发 表 图 2.20 改变 后 的 Switch2 转发 表 


(7) 切换 到 模拟 操作 模式 ,通过 简单 报 文 工 具 启动 PCI 至 PC0 的 ICMP 报 文 传输 过 
&, 如 图 2. 21 所 示 ,该 ICMP 报 文 到 达 PC2。 
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图 2.21 PCI 发 送 给 PC0 的 ICMP 报 文 错 误 传 输 给 PC2 
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2.3 Smurf 攻击 实验 


2.3.1 实验 内 容 


互连网 结构 如 图 2. 22 Bros ,终端 A 在 LAN 1 中 广播 一 个 ICMP ECHO 请 求 报 文 ， 
该 ICMP ECHO 请 求 报 文 封装 成 以 Web 服务 器 的 IP 地 址 为 源 卫 地 址 ,以 广播 地 址 为 目 
的 IP 地 址 的 IP 4H. LAN 1 中 所 有 其 他 终端 接收 到 该 ICMP ECHO 请 求 报 文 后 ,向 
Web 服务 器 发 送 ICMP ECHO 响应 报 文 。 这 种 情况 下 ,终端 A 发 送 的 单个 ICMP ECHO 
请 求 报 文 导致 Web 服务 器 接收 到 三 个 ICMP ECHO 响应 报 文 。 

XA [Ll 


192.1.1.1/24 








终端 B 
192.1.1.2/24 











R E 
192.1.1254/24 de 192.1.2254/4 C) E 
L4 L| 
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192.12.1/4 


终端 C 
192.1.1.3/24 


wo ”加 


192.1.1.4/24 CE 


















图 2.22 互连网 结构 


2.3.2 实验 目的 


(D 验证 ICMP ECHO 请 求 .响应 过 程 。 

(2) 验证 网 络 放大 ICMP ECHO 响应 报 文 的 过 程 。 
(3) 验证 间接 攻击 原理 。 

(4) 验证 Smurf 攻击 过 程 。 


233 实验 原理 


Smurf 攻击 过 程 如 图 2.23 所 示 ,终端 A 将 ICMP ECHO 请 求 报 文 封装 成 以 Web 服 
务 器 的 IP 地 址 为 源 IP 地 址 以 全 !1 广播 地 址 为 目的 TP 地址 的 IP 分 组 ,该 ICMP ECHO 
请 求 报 文 到 达 LAN 1 中 的 所 有 其 他 终端 和 路 由 器 及 ,接收 到 该 ICMP ECHO 请 求 报 文 的 
终端 均 发 送 ICMP ECHO 响应 报 文 ,这 些 ICMP ECHO 响应 报 文 都 被 封装 成 以 Web 服 
务 器 的 IP 地 址 为 目的 IP 地 址 的 IP 分 组 ,导致 这 些 ICMP ECHO 响应 报 文 全 部 到 达 
Web 服务 器 。 

由 于 LAN 1 中 接 人 大 量 终端 (这 里 是 四 个 终端 ) ,为 避免 为 每 个 终端 配置 网 络 信息 ， 
启动 路 由 器 R 的 动态 主机 配置 协议 (Dynamic Host Configuration Protocol,DHCP) 服 务 
器 功能 ,由 路 由 器 R 自动 为 接 入 LAN 1 的 终端 配置 网 络 信息 。 
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图 2.23 Smurf 攻击 过 程 


2.3.4 关键 命令 说 明 

1. 模式 转换 命令 

根据 权限 不 同 ,CLI( 命 令 行 接口 ) 模 式 可 以 分 为 用 户 模式 ,特权 模式 和 全 局 模式 , 启 
动 设备 后 ,设备 默认 的 模式 是 用 户 模式 ,需要 通过 命令 完成 各 种 模式 之 间 的 转换 。 以 下 命 
令 序列 将 CLI( 命 令 行 接口 ) 模 式 从 用 户 模式 转换 为 特权 模式 ,再 从 特权 模式 转换 为 全 局 
模式 。 


Router>enable 


Router#configure terminal 


enable 是 用 户 模式 下 使 用 的 命令 ,二 是 用 户 模 式 下 的 命令 提示 符 ,该 命令 的 作用 是 将 
CLI( 命 令 行 接口 ) 模 式 从 用 户 模式 转换 为 特权 模式 。 

configure terminal 是 用 户 模式 下 使 用 的 命令 ,# 是 特权 模式 下 的 命令 提示 符 , 该 命 
令 的 作用 是 将 CLI( 命 令 行 接口 ) 模 式 从 特权 模式 转换 为 全 局 模式 。 

2. 路 由 器 接口 配置 命令 

下 述 命令 序列 用 于 开启 路 由 器 接口 FastEthernet0/0, 并 为 路 由 器 接口 FastEthernet0/0 
分 配 IP 地 址 和 子 网 掩 码 。 














Router (config)finterface FastEthernet0/0 
Router (config-if)$no shutdown 
Router (config-if)fip address 192.1.1.254 255.255.255.0 


Router (config-if)fexit 

interface FastEthernet0/0 是 全 局 模式 下 使 用 的 命令 ,(config) # 是 全 局 模式 下 的 命 
令 提 示 符 。 该 命令 的 作用 是 进入 路 由 器 接口 FastEthernet0/0 的 接口 配置 模式 ， 
FastEthernet0/0 中 包含 两 部 分 信息 ,一 是 接口 类 型 FastEthernet ,表明 该 接口 是 快速 以 
太 网 接口 ;二 是 接口 编号 0/0, 接 口 编号 用 于 区 分 相同 类 型 的 多 个 接口 。 

no shutdown 是 接口 配置 模式 下 使 用 的 命令 ,(config 一 过) 并 是 接口 配置 模式 下 的 命 
令 提 示 符 。 该 命令 的 作用 是 开启 该 接口 。 路 由 器 接口 FastEthernet0/0 的 默认 状态 是 关 
闭 , 需 要 通过 该 命令 开启 路 由 器 接口 FastEthernet0/0, 

ip address 192. 1. 1. 254 255. 255. 255. 0 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 作 
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用 是 为 路 由 器 接口 FastEthernet0/0 分 配 IP 地 址 192. 1. 1. 254 和 子 网 掩 码 255. 255. 
255.0, 

exit 命令 的 作用 是 退出 当前 模式 ,返回 到 上 一 层 模式 。 接 口 配 置 模式 下 执行 该 命令 
的 结果 是 返回 到 全 局 模式 ,全 局 模式 下 执行 该 命令 的 结果 是 返回 到 特权 模式 ,特权 模式 下 
执行 该 命令 的 结果 是 返回 到 用 户 模式 。 

3. 路 由 器 配置 DHCP 服务 器 命令 

以 下 命令 序列 用 于 定义 名 为 lanl 的 作用 域 , 配 置 该 作用 域 对 应 的 默认 网 关 地 址 和 TP 
地 址 范围 。 

















Router (config)#ip dhcp pool lanl 

Router (dhcp-config)fdefault- router 192.1.1.254 

Router (dhcp-config)fnetwork 192.1.1.0 255.255.255.0 

Router (dhcp-config)fexit 

ip dhcp pool lanl 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 有 两 个 ,一 是 创建 名 为 
lanl 的 作用 域 ;二 是 进入 DHCP 配置 模式 ,在 DHCP 配置 模式 下 完成 该 作用 域 相关 网 络 
信息 的 配置 过 程 。 

default-router 192. 1. 2. 254 是 DHCP 配置 模式 下 使 用 的 命令 , (dhcp-config) # 是 
DHCP 配置 模式 下 的 命令 提示 符 。 该 命令 的 作用 是 将 192. 1. 2. 254 作为 该 作用 域 的 默 
认 网 关 地 址 。 如 果 该 作用 域 作 用 于 某 个 网 络 , 将 路 由 器 连接 该 网 络 的 接口 的 IP 地 址 作为 
该 作用 域 的 默认 网 关 地 址 ,如 名 为 lanl 的 作用 域 是 作用 于 以 太 网 LAN 1 的 作用 域 ,路 由 
器 连接 LAN 1 的 接口 的 IP 地址 作为 该 作用 域 的 默认 网 关 地 址 。 

network 192. 1. 1. 0 255. 255. 255. 0 是 DHCP 配置 模式 下 使 用 的 命令 ,该 命令 的 作 
用 是 将 IP 地 址 范围 指定 为 网 络 地 址 192. 1. 1. 0/24 包含 的 IP 地 址 范围 ,其 中 192. 1. 1.0 
是 网 络 地 址 ,255. 255. 255. 0 是 子 网 掩 码 。 命 令 network 指定 的 IP 地 址 范围 只 能 是 某 个 
网 络 地 址 包含 的 TP 地 址 范围 。 

exit 命令 的 作用 是 从 DHCP 配置 模式 返回 到 全 局 模式 。 
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CD 启动 Packet Tracer, 在 逻辑 工作 区 根据 如 图 2. 22 所 示 的 互连网 结构 放置 和 连接 
设备 。 完 成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 如 图 2. 24 所 示 。 

(2) 完成 路 由 器 Router " Config ( fd E" — " FastEthernet0/0 ( FastEthernet0/0 接 
口 )” 操 作 过 程 ,弹出 如 图 2.25 所 示 的 路 由 器 Router FastEthernet0/0 接口 配置 界面 。 在 
Port Status( 端 口 状态 ) 中 旬 选 On。 在 IP AddressCIP 地 址 栏 ) 中 输入 FastEthernet0/0 
zr ff IP Hob 192. 1. 1. 254. Æ Subnet Mask( 子 网 掩 码 栏 ) 中 输入 FastEthernet0/0 接口 
的 子 网 掩 码 255. 255. 255.0。 完 成 路 由 器 Router FastEthernet0/0 接口 的 配置 过 程 。 值 
得 说 明 的 是 ,上 述 路 由 器 Router FastEthernet0/0 接口 的 配置 过 程 同样 可 以 通过 在 CLI 
(命令 行 接口 ) 中 输入 第 2. 3. 4 节 中 给 出 的 用 于 完成 路 由 器 接口 配置 过 程 的 命令 序列 完 
成 。 只 是 上 述 图 形 配置 界面 更 加 方便 和 直接 ,适合 初学 者 使 用 。 

用 同样 的 方式 完成 Router FastEthernet0/1 接口 的 配置 过 程 。 
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图 2.24 完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 
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andwidth © 100 Mbps © 10 Mbps 园 Auto 
uplex Half Duplex @ Full Duplex [V] Auto 
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IP Configuration 
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Equivalent IOS Commands. 
Router|dhcp-config)fnetwork 192.1.1.0 255.255.255.0 




















Router (dhcp-config)fexit 


Router(config)t 





图 2.25 路 由 器 Router FastEthernet0/0 接口 配置 界面 


(3) 完成 路 由 器 Router DHCP 服务 器 配置 过 程 ,该 配置 过 程 需要 通过 在 CLI( 命 令 
行 接口 ) 中 输入 第 2.3. 4 节 中 给 出 的 用 于 完成 路 由 器 DHCP 服务 器 配置 过 程 的 命令 序列 
完成 。 这 也 说 明 , 图 形 配置 界面 只 能 完成 简单 功能 的 配置 过 程 ,复杂 功能 的 配置 过 程 需要 
通过 CLI( 命 令 行 接口 ) 实 现 。 

(4) 完成 Web 服务 器 网 络 信息 配置 过 程 , Web 服务 器 网 络 信息 配置 界面 如 图 2. 26 


所 示 。 
(5) 由 于 路 由 器 Router 为 由 Switchl 构成 的 以 太 网 定义 了 名 为 lanl 的 作用 域 , 因 
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图 2.26 Web 服务 器 网 络 信息 配置 界面 


此 ,连接 在 Switchl 上 的 终端 可 以 通过 DHCP 自动 获取 网 络 信息 。 完 成 PCO" Desktop 
(桌面 )”>“IP Configuration IP 配置 )” 操 作 过 程 ,弹出 如 图 2. 27 所 示 的 PC0 网 络 信息 
配置 界面 ,选择 DHCP 选项 ,PC0 自动 获取 如 图 2.27 所 示 的 网 络 信息 。 用 同样 的 方式 ， 
使 PCI,PC2 和 PC3 自动 获取 网 络 信息 。 











Physical | Config Desktop | Software/Services. | 














IP Configuration [x] Il 1 
IP Configuration 

@ DHCP © Static DHCP request successful. 

IP Address 192.1.1.1 

Subnet Mask 255.255.255.0 











Default Gateway 192.1.1.254 








DNS Server 





1Pv6 Configuration 
© DHCP © Auto Config @ Static 








IPv6 Address 1/ [| 

















Link Local Address FE80::202:17FF:FEB7:8720 
IPv6 Gateway 
IPv6 DNS Server 























图 2.27 PC0 自动 获取 网 络 信息 界面 


(6) 切换 到 模拟 操作 模式 ,通过 复杂 报 文 工 具 在 PCO 上 生成 如 图 2. 28 所 示 的 ICMP 
ECHO 请 求 报 文 ,该 ICMP ECHO 请 求 报 文 封装 成 源 IP 地 址 是 Web 服务 器 的 IP 地 址 
192.1.2.1、 目 的 卫 地 址 是 全 1 的 广播 地 址 的 IP 分 组 。 该 IP 分 组 在 由 Switchl 构成 的 


以 太 网 上 广播 ,到 达 
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达 所 有 其 他 终端 和 路 由 器 Router, 如 图 2. 29 所 示 。 
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图 2.28 复杂 报 文 工 具 在 PC0 上 生成 的 ICMP ECHO 请 求 报 文 
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图 2.29 ICMP ECHO 请 求 报 文 广播 过 程 
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C) 由 于 封装 ICMP ECHO 请 求 报 文 的 IP 分 组 的 源 IP 地址 是 Web 服务 器 的 IP 地 
址 ,所 有 接收 到 ICMP ECHO 请 求 报 文 的 终端 ,向 Web 服务 器 发 送 ICMP ECHO 响应 报 
文 ,导致 Web 服务 器 接收 到 三 个 ICMP ECHO 响应 报 文 ,如 图 2. 30 所 示 。 
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图 2.30 所 有 终端 向 Web 服务 器 发 送 ICMP ECHO 响应 报 文 
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1. Router 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router»enable 

Router# configure terminal 

Router (config)finterface FastEthernet0/0 

Router (config-if)$no shutdown 

Router (config-if)fip address 192.1.1.254 255.255.255.0 
Router (config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)$no shutdown 

Router (config-if)fip address 192.1.2.254 255.255.255.0 
Router (config-if)fexit 

Router (config)fip dhcp pool lanl 

Router (dhcp-config)fdefault-router 192.1.1.254 

Router (dhcp-config)f&network 192.1.1.0 255.255.255.0 
Router (dhcp-config)fexit 


2. 命令 列表 
路 由 器 Router 命令 行 接口 配置 过 程 中 使 用 的 命令 及 功能 和 参数 说 明 如 表 2. 1 所 示 。 


第 = 草 T CES ^ 























X11 命令 列表 

命令 格式 功能 和 参数 说 明 
enable 没有 参数 ,从 用 户 模式 进入 特权 模式 
configure terminal 没有 参数 ,从 特权 模式 进入 全 局 模式 
exit 没有 参数 ,退出 当前 模式 ,返回 到 上 一 层 模式 
interface port-id 进入 由 参数 portid 指定 的 路 由 器 接口 的 接口 配置 模式 
为 路 由 器 接口 配置 IP 地 址 和 子 网 掩 码 。 参 数 ipaddress 是 用 户 
ip address ipaddress subnermask | 配置 的 tk SM subnet-mask 是 用 户 配置 的 子 网 掩 码 
no shutdown 没有 参数 ,开启 某 个 路 由 器 接口 


注 : 粗 体 是 命令 关键 字 ,斜体 是 命令 参数 。 


2.4 RIP 路 由 项 欺骗 攻击 实验 


2.4.1 实验 内 容 


首先 ,构建 如 图 2. 31 所 示 的 由 3 台 路 由 器 连接 4 个 网 络 的 互连网 ,通过 路 由 信息 协 
W (Routing Information Protocol, RID Æ RA A 至 终端 B 的 IP 传输 路 径 ,实现 IP 分 
组 终端 A 至 终端 B 的 传输 过 程 ;然后 ,在 网 络 地 址 为 192. 1. 2. 0/24 的 以 太 网 上 接 入 入 侵 
路 由 器 ,由 人 侵 路 由 器 伪造 与 网 络 192. 1. 4. 0/24 直接 连接 的 路 由 项 ,用 伪造 的 路 由 项 改 
变 终端 A 至 终端 B 的 IP 传输 路 径 ,使 终端 A 传输 给 终端 B 的 IP 分 组 被 路 由 器 R1 错误 
地 转发 给 入 侵 路 由 器 。 
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图 2.31 RIP 路 由 项 欺骗 攻击 过 程 


2.4.2 实验 目的 


(1) 验证 路 由 器 RIP 配置 过 程 。 
(2) 验证 RIP 生成 动态 路 由 项 的 过 程 
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(3) 验证 RIP 的 安全 缺陷 。 
(4) 验证 利用 RIP 实施 路 由 项 欺骗 攻击 的 过 程 。 
(5) 验证 入侵 路 由 器 截获 IP 分 组 的 过 程 。 


243 实验 原理 


构建 如 图 2. 31 所 示 的 互连网 ,完成 路 由 器 RIP 配置 过 程 , 路 由 器 RI 生成 如 图 2. 31 
所 示 的 路 由 器 R1 正确 路 由 表 , 路 由 表 中 的 路 由 项 过 192. 1. 4. 0/24,2,192. 1. 2. 253 
明 路 由 器 R1 通 往 网 络 192. 1. 4. 0/24 的 传输 路 径 上 的 下 一 跳 是 路 由 器 R2, 以 此 保证 终端 
A 至 终端 B 的 IP 传输 路 径 是 正确 的 。 如 果 有 人 和 人 侵 路 由 器 接 人 网 络 192. 1. 2. 0/24, 并 发 
送 了 伪造 的 表明 与 网 络 192. 1.4.0/24 直接 连接 的 路 由 消息 二 192. 1. 4. 0/24,0 之 。 路 由 
器 R1 接收 到 该 路 由 消息 后 ,如 果 认 可 该 路 由 消息 ,将 通 往 网 络 192. 1. 4. 0/24 的 传输 路 
径 上 的 下 一 跳 由 路 由 器 R2 改 为 人 侵 路 由 器 ,导致 终端 A 至 终端 B 的 IP 传输 路 径 发 生 
错误 。 


2.4.4 关键 命令 说 明 
以 下 命令 序列 用 于 完成 路 由 器 RIPv1 配置 过 程 。 





Router (config)#router rip 

Router (config-router)#network 192.1.1.0 

Router (config-router)#network 192.1.2.0 

Router (config-router)#exit 

router rip 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 启动 RIP 进程 和 进入 RIP 配 
BRR. 

network 192. 1. 1.0 是 RIP 配置 模式 下 使 用 的 命令 ,(config-router)# 是 RIP 配置 模 
式 下 的 命令 提示 符 。 该 命令 的 作用 是 指定 一 个 与 路 由 器 直接 连接 的 网 络 ,192. 1. 1.0 是 
命令 参数 ,以 分 类 编 址 形式 给 出 该 网 络 的 网 络 地 址 。 指 定 该 网 络 后 ,一 是 只 有 IP 地 址 属 
于 该 网 络 的 路 由 器 接口 才能 接收 、 发 送 路 由 消息 ;二 是 只 有 该 网 络 才能 作为 目的 网 络 出 现 
在 <V,D>> 表 中 。 针 对 如 图 2. 31 所 示 的 互连网 结构 ,路 由 器 RI 直接 连接 的 两 个 网 络 的 
网 络 地 址 分 别 是 192. 1. 1. 0/24 和 192. 1. 2. 0/24 ,这 两 个 网 络 地 址 如 果 以 分 类 编 址 形式 
给 出 ,分 别 是 192. 1. 1.0 和 192. 1. 2.0. 

exit 命令 的 作用 是 从 RIP 配置 模式 返回 到 全 局 模式 。 


245 实验 步骤 


(1) 在 如 图 2. 31 所 示 的 互连网 结构 中 去 掉 入 侵 路 由 器 ,根据 去 掉 入 侵 路 由 器 后 的 互 
连 网 结构 放置 和 连接 设备 。 完 成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 如 图 2. 32 所 示 。 

(2) 根据 如 图 2. 31 所 示 的 各 个 路 由 器 接口 的 IP 地 址 ,分 别 为 3 台 路 由 器 连接 4 个 
以 太 网 的 接口 分 配 IP 地 址 和 子 网 掩 码 。 

G) 完成 路 由 器 Router1“Config( 配 置 )”>“RIP” 操 作 过 程 ,弹出 如 图 2. 33 所 示 的 路 
由 器 Routerl RIP 配置 界面 。Network( 网 络 地 址 栏 ) 中 以 分 类 编 址 下 的 网 络 地 址 形式 分 
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图 2.32 完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 















































别 输入 Routerl 直接 连接 的 网 络 192.1.1.0/24 和 192. 1. 2.0/24。 
Physical.| Config [Gil 
RIP Routing 
Network 192.1.2.0 
Add 
Network Address. 
192.1.1.0 
[Remove | 























Equivalent IOS Commands. 
Router (config-router)$ 
Router (config-router)fexit 


Router(config)frouter rip 
Router (config-router)t 





图 2.33 Routerl RIP 配置 界面 


所 有 路 由 器 完成 上 述 配 置 过 程 后 ,路 由 器 Routerl 生成 如 图 2. 34 所 示 的 路 由 表 。 路 





由 表 中 路 由 项 二 192. 1. 4. 0/24,192. 1. 2. 253 之 表明 路 由 器 Routerl 通 往 网 络 192. 1. 4. 


0/24 的 传输 路 径 上 的 下 一 跳 是 路 由 器 Router? 连接 网 络 192. 1. 2.0/24 的 接口 。 
需要 说 明 的 是 ,路 由 器 RIP 配置 过 程 同样 可 以 通过 在 CLI( 命 令 行 接口 ) 下 输入 第 


2. 4. 4 节 中 给 出 的 用 于 完成 路 由 器 RIPv1 配置 过 程 的 命令 序列 完成 。 


(4) 通过 启动 PC0 与 PCI 之 间 的 ICMP 报 文 传输 过 程 ,验证 PC0 与 PCI 之 间 存 在 


IP 传输 路 径 。 


(5) 如 图 2. 35 所 示 ,用 路 由 器 Router 作为 人 侵 路 由 器 ,Router 的 其 中 一 个 接口 连接 
网 络 192. 1. 2. 0/24 ,分 配 IP 地 址 192. 1. 2. 37 和 子 网 掩 码 255. 255. 255. 0。Router 的 另 
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Routing Table for Routeri 


Network. 
182. 1.1.0/24 
182.1.2.0/24 


182.1.3.0/24 
182.1.4.0/24 


FastEthernet0/0 
FastEthernet(/1 


FastEthernet0/1 192. 1.2.253 
FastEthernet0/1 192. 1.2.253 








2.34 路 由 器 Routerl 路 由 表 


一 个 接口 分 配 IP 地 址 192. 1.4. 37 和 子 网 掩 码 255. 255. 255. 0, 以 此 将 该 接口 伪造 成 与 
网 络 192. 1. 4. 0/24 直接 连接 的 接口 。 完 成 路 由 器 Router RIP 配置 过 程 ,路 由 器 Router 
发 送 表 明 与 网 络 192. 1. 4. 0/24 直接 连接 的 路 由 消息 。 
路 由 表 改 变 为 如 图 2. 36 所 示 的 错误 的 路 由 表 , 路 由 表 中 路 由 项 过 192. 1. 4. 0/24,192. 1. 
2.37 之 表明 路 由 器 Routerl 通 往 网 络 192. 1. 4. 0/24 的 传输 路 径 上 的 下 一 跳 是 路 由 器 


Router 连接 网 络 192.1. 2. 0/24 的 接口 。 


该 路 由 消息 将 路 由 器 Routerl 的 
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2.36 黑客 终端 发 送 伪造 路 由 项 后 的 路 由 器 Routerl 路 由 表 


(6) 进入 模拟 操作 模式 ,启动 PC0 至 PCI 的 IP 分 组 传输 过 程 ,如 图 2. 37 所 示 ,发 现 
路 由 器 Routerl 将 该 IP 分 组 转发 给 路 由 器 Router, BOX IP 分 组 无 法 到 达 PCI, 
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Æ 2.37 PCO £ PCI &j IP 分 组 错误 转发 给 入 侵 路 由 器 Router 
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1，Routerl 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router>enable 

Router#configure terminal 

Router (config)#interface FastEthernet0/0 

Router (config-if)#no shutdown 

Router (config-if)#ip address 192.1.1.254 255.255.255.0 
Router (config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)fno shutdown 

Router (config-if)fip address 192.1.2.254 255.255.255.0 
Router (config-if)fexit 

Router (config)frouter rip 

Router (config-router)fnetwork 192.1.1.0 

Router (config-router)f$network 192.1.2.0 


Router (config-router)fexit 


2. Router2 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router>enable 
Router#configure terminal 


Router (config)#interface FastEthernet0/0 
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Router (config-if)#no shutdown 

Router (config-if)fip address 192.1.2.253 255.255.255.0 
Router (config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)f$no shutdown 

Router (config-if)fip address 192.1.3.254 255.255.255.0 
Router (config-if)fexit 

Router (config)frouter rip 

Router (config-router)fnetwork 192.1.2.0 

Router (config-router)fnetwork 192.1.3.0 


Router (config-router)fexit 


3. Router 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router>enable 

Router# configure terminal 

Router (config)#interface FastEthernet0/0 

Router (config-if)#no shutdown 

Router (config-if)#ip address 192.1.2.37 255.255.255.0 
Router (config-if)#exit 

Router (config)#interface FastEthernet0/1 

Router (config-if)#no shutdown 

Router (config-if)#ip address 192.1.4.37 255.255.255.0 
Router (config-if)#exit 

Router (config)#router rip 

Router (config-router)#network 192.1.2.0 

Router (config-router)#network 192.1.4.0 


Router (config-router)#exit 


路 由 器 Router3 的 命令 行 接口 配置 过 程 与 路 由 器 Routerl 和 Router2 相似 ,不 再 
FOR. 

4. 命令 列表 

路 由 器 命令 行 接口 配置 过 程 中 使 用 的 命令 及 功能 和 参数 说 明 如 表 2.2 所 示 。 


表 2.2 命令 列表 


命令 格式 功能 和 参数 说 明 


启动 RIP 进程 ,进入 RIP 配置 模式 ,在 RIP 配置 模式 下 完成 RIP 相关 参数 的 
配置 过 程 





router rip 





指定 参与 RIP 创建 动态 路 由 项 的 路 由 器 接口 和 直接 连接 的 网 络 。 参 数 ip 
address 以 分 类 编 址 形式 给 出 直接 连接 的 网 络 的 网 络 地 址 


network ipaddress 





注 : 粗 体 是 命令 关键 字 , 斜 体 是 命令 参数 。 
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2.5 钓鱼 网 站 实验 


2.5.1 实验 内 容 


钓鱼 网 站 实施 过 程 如 图 2. 38 所 示 , 正 确 情况 下 ,终端 应 该 从 DHCP 服务 器 获取 正确 
的 域名 系统 (Domain Name System,DNS) 服 务 器 地 址 192.1. 2.7, 通 过 正确 的 DNS 服务 
器 解析 完全 合格 的 域名 www. bank. com ,得 到 的 结果 是 正确 的 Web 服务 器 地 址 192. 1. 
dvds 

当 黑 客 在 网 络 中 接 人 伪造 的 DHCP Hits de Dis f DNS 服务 器 和 伪造 的 Web 服务 
器 后 ,终端 可 能 从 伪造 的 DHCP 服务 器 获取 伪造 的 DNS 服务 器 地 址 192. 1. 3. 1 ,通过 伪 
造 的 DNS 服务 器 解析 完全 合格 的 域名 www. bank. com. 得 到 的 结果 是 伪造 的 Web 服务 
器 地 址 192. 1. 2.5 。 导 致 用 户 通过 域名 www. bank. com 访问 到 伪造 的 Web 服务 器 。 


2.5.2 实验 目的 


(1) 验证 伪造 的 DHCP 服务 器 为 终端 提供 网 络 信息 配置 服务 的 过 程 。 
(2) 验证 错误 的 本 地 域名 服务 器 地 址 造成 的 后 果 。 
(3) 验证 利用 网 络 实施 钓鱼 网 站 的 过 程 。 


2.5.3 实验 原理 


终端 通过 广播 DHCP 发 现 消息 发 现 DHCP 服务 器 , 当 DHCP 服务 器 与 终端 不 在 同 
一 个 网 络 (同一 个 广播 域 ) 时 ,由 路 由 器 完成 中 继 过 程 。 DHCP 服务 器 通过 向 终端 发 送 
DHCP 提供 消息 表明 可 以 为 终端 提供 网 络 信息 配置 服务 ,终端 选择 发 送 第 一 个 到 达 终 端 
的 DHCP 提供 消息 的 DHCP 服务 器 为 其 提供 网 络 信息 配置 服务 。 

如 图 2. 38 所 示 ,在 终端 连接 的 网 络 中 接 和 伪造 的 DHCP 服务 器 后 ,终端 广播 的 
DHCP 发 现 消息 到 达 伪 造 的 DHCP 服务 器 ,伪造 的 DHCP 服务 器 在 网 络 中 广播 DHCP 
提供 消息 ,由 于 伪造 的 DHCP 服务 器 与 终端 位 于 同一 网 络 , 伪 造 的 DHCP 服务 器 发 送 的 
DHCP 提供 消息 可 能 先 于 DHCP 服务 器 发 送 的 DHCP 提供 消息 到 达 终 端 ,导致 终端 选 
择 伪造 的 DHCP 服务 器 为 其 提供 网 络 信息 配置 服务 ,并 将 伪造 的 DNS 服务 器 的 IP 地 址 
192. 1.3. 1 作为 本 地 域名 服务 器 地 址 。 


2.5.4 关键 命令 说 明 


以 下 命令 序列 用 于 完成 在 路 由 器 FastEthernet0/0 接口 配置 中 继 地 址 192. 1. 2. 2 的 
功能 。 








Router (config)#interface FastEthernet0/0 
Router (config-if)#ip helper-address 192.1.2.2 


Router (config-if)#exit 


ip helper-address 192. 1. 2. 2 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 配置 
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DHCP 服务 器 的 IP 地 址 192. 1.2. 2 和 启动 接口 的 DHCP 中 继 功 能 。 接 口 配置 该 命令 
后 ,如 果 通 过 该 接口 接收 到 源 IP 地 址 为 0.0. 0.0 .目的 IP Ji hib y 255.255. 255. 255. Hf 
荷 是 源 端口 号 为 68、 目 的 端口 号 为 67 的 UDP 报 文 的 IP 分 组 , 则 将 该 接口 的 TP 地 址 作 
为 UDP 报 文 封装 的 DHCP 消息 中 的 中 继 代 理 地 址 ,同时 将 UDP 报 文 重新 封装 成 源 IP 
地 址 为 该 接口 的 人 P 地 址 、 目 的 全 地 址 为 DHCP 服务 器 的 IP 地 址 的 全 分 组 ,通过 正常 的 
IP 传输 路 径 完成 该 IP 分 组 路 由 器 至 DHCP 服务 器 的 传输 过 程 。 如 果 路 由 器 接收 到 以 该 
接口 的 IP 地 址 为 目的 IP 地 址 , 且 净 荷 是 源 端口 号 为 67、 目 的 端口 号 为 68 的 UDP 报 文 
的 全 分 组 , 则 将 UDP 报 文 重新 封装 成 以 该 接口 的 IP. 地 址 为 源 IP 地 址 .以 32 位 全 1 的 
受 限 广 播 地 址 为 目的 IP 地 址 的 IP 分 组 ,并 通过 该 接口 输出 该 IP 分 组 。 


255 实验 步骤 


(1) 实现 正常 的 Web 服务 器 访问 过 程 ,因此 ,在 如 图 2. 38 所 示 的 网 络 结构 中 去 掉 所 
有 伪造 的 服务 器 ,根据 去 掉 所 有 伪造 的 服务 器 后 的 网 络 结构 放置 和 连接 设备 。 完 成 设备 
放置 和 连接 后 的 逻辑 工作 区 界面 如 图 2. 39 所 示 。 
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图 2.39 完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 


(2) 完成 路 由 器 接口 TP 地 址 和 子 网 掩 码 配 置 过 程 ,完成 路 由 器 RIP 配置 过 程 。 路 由 
器 Routerl 和 Router? 建立 完整 路 由 表 。 

(3) 完成 路 由 器 Routerl 接口 FastEthernet0/0 的 中 继 地 址 配置 过 程 。 该 配置 过 程 
只 能 通过 在 CLI( 命 令 行 接口 ) 下 输入 第 2.5. 4 节 中 给 出 的 用 于 完成 中 继 地 址 配置 过 程 的 
命令 序列 实现 。 

(4) 按照 如 图 2. 38 所 示 的 服务 器 IP 地 址 ,完成 3 台 服 务 器 IP 地 址 . 子 网 掩 码 和 默认 
网 关 地 址 配置 过 程 ,服务器 的 默认 网 关 地 址 是 路 由 器 连接 服务 器 所 在 网 络 的 接口 的 TP 地 
址 。 由 于 Routerl 和 Router2 各 有 一 个 接口 连接 DHCP 服务 器 和 DNS 服务 器 所 在 的 网 
络 ,DHCP 服务 器 和 DNS 服务 器 可 以 选择 其 中 一 个 接口 的 IP 地址 作为 默认 网 关 地 址 。 
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(5) 完成 DHCP 服务 器 “Services( 服 务 )”>“DHCP” 操 作 过 程 ,弹出 如 图 2. 40 所 示 
的 DHCP 服务 器 作用 域 配 置 界面 ,Service( 服 务 ) 一 栏 选择 On。serverPool 是 Pool Name 











域名 ) ,每 








个 作用 域 需要 取 不 同 的 作用 域名 。192. 1. 1. 254 是 该 作 上 








日 域 的 Default 








Gateway( 默 认 网 关 地 址 ), 192. 1. 2. 7 是 该 作用 域 的 DNS Server (DNS 服务 器 ) 地址， 
Start IP Address( 起 始 IP 地址 )192.1.1. 10 和 Maximum number of User( 最 大 用 户 数 ) 
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50 确定 可 分 配 的 IP 地 址 范围 是 192. 1. 1. 10—192, 1. 1. 59, 
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(6) 完成 DNS 





图 2.40 DHCP 服务 器 作用 域 配置 界面 
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Resource Records 
Name Type [A Record v 
Address 
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图 2.41 DNS 服务 器 资源 记录 配置 界面 


[LA di" Services (服务 )”>“DNS” 操 作 过 程 ,弹出 如 图 2. 41 所 示 的 
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DNS 服务 器 资源 记录 配置 界面 ,DNS Service(DNS 服务 ) 一 栏 选择 On。 在 Name( 名 字 ) 
框 中 输入 完全 合格 的 域名 www. bank. com,Type( 类 型 ) 选 择 A Record(A 记录 类 型 ) ,在 
Address( 地 址 ) 框 中 输入 完全 合格 的 域名 为 www. bank. com 的 Web 服务 器 的 IP 地 址 
192,1.3, 7; 

(7) 完成 PCO* Desktop (5 ili) " — "IP. Configuration (IP. 配置 )” 操 作 过 程 ,弹出 如 
图 2.42 所 示 的 PCO 网 络 信息 配置 界面 ,选择 DHCP 选项 ,PC0 自动 获取 如 图 2. 42 所 示 
的 网 络 信息 。 其 中 IP 地 址 是 DHCP 服务 器 中 名 为 serverPool 的 作用 域 定义 的 IP 地 址 
范围 192. 1. 1. 10—192. 1. 1. 59 中 按照 大 小 顺序 选取 的 IP 地 址 192. 1. 1. 10。 子 网 掩 码 、 
默认 网 关 地 址 和 DNS 服务 器 地 址 与 名 为 serverPool 的 作用 域 定义 的 子 网 掩 码 .默认 网 关 
地 址 和 DNS 服务 器 地 址 相同 。 
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图 2.42 PC0 自动 获取 的 网 络 信息 


(8) 完成 PCO"Desktop H ffi) "— "Web Browser( 浏 览 器 )? 操 作 过 程 , 弹 出 如 图 2. 43 
所 示 的 浏览 器 使 用 界面 ,在 URL 栏 中 输入 完全 合格 的 域名 www. bank. com, 单 击 Go, 成 
功 访问 到 完全 合格 的 域名 为 www. bank. com 的 Web 服务 器 。 

(9) 接 人 3 台 伪造 的 服务 器 ,逻辑 工作 区 界面 如 图 2. 44 所 示 。 完 成 3 台 伪造 的 服务 
器 的 IP 地址、 子 网 掩 码 和 默认 网 关 地 址 配置 过 程 。 完 成 伪造 的 DHCP 服务 器 的 作用 域 
配置 过 程 ,配置 的 作用 域 信息 如 图 2. 45 所 示 ;完成 伪造 的 DNS 服务 器 的 资源 记录 配置 过 
程 ,配置 的 资源 记录 如 图 2.46 所 示 。 让 PCO 再 次 自动 获取 网 络 信息 ,获取 的 网 络 信息 如 
图 2. 47 所 示 ,DNS 服务 器 地 址 是 伪造 的 DNS 服务 器 的 IP 地 址 192. 1.3. 1 ,表明 PC0 从 
伪造 的 DHCP 服务 器 获取 网 络 信息 。 

(10) PC0 再 次 用 浏览 器 访问 完全 合格 的 域名 为 www. bank. com 的 Web 服务 器 , 访 
问 结果 如 图 2. 48 所 示 ,访问 结果 表明 PCO 访问 的 是 伪造 的 Web 服务 器 。 
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图 2.43  PCO 通过 www. bank. com 成 功 访问 Web 服务 器 界面 
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图 2.44 接 入 伪造 的 服务 器 后 的 逻辑 工作 区 界面 
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图 2.46 伪造 的 DNS 服务 器 资源 记录 配置 界面 
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图 2.47 PC0 从 伪造 的 DHCP 服务 器 获取 的 网 络 信息 
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Æ 2.48 PC0 通过 www. bank. com 访问 伪造 的 Web 服务 器 界面 


256 命令 行 接口 配置 过 程 
1，Routerl 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router> enable 


Router#configure terminal 


Router (config)#interface FastEthernet0/0 


ges “网 络 攻击 实验 


Router (config-if)#no shutdown 

Router (config-if)fip address 192.1.1.254 255.255.255.0 
Router (config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)fno shutdown 

Router (config-if)fip address 192.1.2.254 255.255.255.0 
Router (config-if)fexit 

Router (config)frouter rip 

Router (config-router)fnetwork 192.1.1.0 

Router (config-router)fnetwork 192.1.2.0 

Router (config-router)fexit 

Router (config)finterface FastEthernet0/0 

Router (config-if)fip helper-address 192.1.2.2 


Router (config-if)fexit 


2. Router? 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router> enable 

Router#configure terminal 

Router (config)#interface FastEthernet0/0 

Router (config-if)#no shutdown 

Router (config-if)#ip address 192.1.2.253 255.255.255.0 
Router (config-if)#exit 

Router (config)#interface FastEthernet0/1 

Router (config-if)#no shutdown 

Router (config-if)#ip address 192.1.3.254 255.255.255.0 
Router (config-if)fexit 

Router (config)frouter rip 

Router (config-router)$network 192.1.2.0 

Router (config-router)$network 192.1.3.0 


Router (config-router)fexit 


3. 命令 列表 
路 由 器 命令 行 接口 配置 过 程 中 使 用 的 命令 及 功能 和 参数 说 明 如 表 2. 3 所 示 。 
表 2.3 命令 列表 
命令 格式 功能 和 参数 说 明 





一 是 配置 DHCP 服务 器 的 IP 地 址 ,二 是 启动 接口 的 DHCP 中 继 功 能 。 
参数 address 给 出 DHCP 服务 器 的 IP 地 址 


注 : 粗 体 是 命令 关键 字 ,斜体 是 命令 参数 。 


ip helper-address address 





Internet 接 入 实验 


接 人 控制 的 核心 是 身份 鉴别 ,深刻 理解 身份 鉴别 机 制 是 掌握 许多 网 络 安全 技术 的 基 
础 。 通 过 基于 本 地 鉴别 方式 和 统一 鉴别 方式 的 接 人 控制 实验 ,掌握 身份 鉴别 协议 的 工作 


3.1 终端 以 太 网 接 入 Internet 实验 


3.1.1 实验 内 容 


构建 如 图 3. 1 所 示 的 接 入 网 络 ,终端 A 和 终端 B 通 过 启动 宽带 连接 程序 完成 接 入 
Internet 的 过 程 。 




















192.1.1.1~192.1.1.14 i 244 


图 3.1 终端 以 太 网 接 入 Internet 过 程 


图 3. 1 所 示 的 接 人 网 络 中 ,路 由 器 R1 作为 接 和 人 控制 设备 ,终端 A 和 B 通 过 以 太 网 与 
路 由 器 Rl 实现 互 连 。 路 由 器 Rl 的 一 端 连接 作为 接 入 网 络 的 以 太 网 , 另 一 端 连接 
Internet。 完 成 宽带 接 入 前 ,终端 A 和 终端 B 没 有 配置 任何 网 络 信息 ,也 无 法 访问 
Internet, 

终端 A 和 终端 也 访问 Internet 前 ,需要 完成 以 下 操作 过 程 : 

d) 完成 注册 ,获取 有 效 的 用 户 名 和 口令 。 

(2) 启动 宽带 连接 程序 。 

成 功 接 入 Internet 后 ,终端 A 和 终端 B 可 以 访问 Internet 中 的 资源 (如 Web 服务 
器 ) ,也 可 以 和 Internet 中 的 其 他 终端 进行 通信 。 


BIB nternet 接 入 实验 e^ 


312 实验 目的 


(1) 验证 宽带 接 人 网 络 的 设计 过 程 。 

(2) 验证 接 入 控制 设备 的 配置 过 程 。 

(3) 验证 终端 宽带 接 入 过 程 。 

(4) 验证 身份 鉴别 协议 工作 原理 。 

(5) 验证 本 地 鉴别 方式 鉴别 终端 用 户 过 程 。 
(6) 验证 用 户 终 端 访问 Internet 过 程 。 


313 实验 原理 


由 于 终端 A 和 终端 B 通 过 以 太 网 与 作为 接 入 控制 设备 的 路 由 器 RI 实现 互 连 。 因 
此 ,需要 通过 基于 以 太 网 的 点 对 点 协议 (PPP over Ethernet,PPPoE) 完 成 接 入 过 程 。 对 于 
路 由 器 R1, 一 是 需要 配置 注册 用 户 ; 二 是 需要 配置 用 于 鉴别 注册 用 户 身份 的 鉴别 协议 ;三 
是 需要 配置 IP 地 址 池 。 对 于 接 入 终端 ,需要 启动 宽带 接 入 程序 ,并 输入 表明 注册 用 户 身 
份 的 有 效用 户 名 和 口令 。 终 端 与 路 由 器 RI 之 间 完 成 以 下 操作 过 程 : (1) 建 立 终端 与 路 由 
器 RI 之 间 的 点 对 点 协议 (Point to Point Protocol,PPP) 会 话 。(2) 基 于 PPP 会 话 建立 终 
端 与 路 由 器 RI 之 间 的 PPP 链 路 。(3) 由 路 由 器 RI 完成 对 终端 用 户 的 身份 鉴别 过 程 。 
(4) 由 路 由 器 R1 对 终端 分 配 IP 地 址 ,并 在 路 由 表 中 创建 用 于 将 路 由 器 R1 与 终端 之 间 的 
PPP 会 话 和 为 终端 分 配 的 TP 地 址 绑 定 在 一 起 的 路 由 项 。 


3.1.4 关键 命令 说 明 


1. 配置 鉴别 方式 

接 入 控制 设备 鉴别 用 户 身 份 可 以 采用 本 地 鉴别 方式 和 统一 鉴别 方式 。 本 地 鉴别 方式 
可 以 直接 在 接 入 控制 设备 中 定义 注册 用 户 ;统一 鉴别 方式 可 以 统一 在 鉴别 服务 器 中 定义 
注册 用 户 。 以 下 命令 序列 用 于 指定 本 地 鉴别 方式 。 


Router (config)#aaa new-model 


Router (config)#aaa authentication ppp al local 


aaa new-model 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 启动 路 由 器 鉴别 ,授权 和 
计 费 (Authentication, Authorization and Accounting,AAA) 接 入 控制 模型 。 

aaa authentication ppp al local 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 指定 名 为 
al 的 PPP 鉴别 列表 ,该 鉴别 列表 中 只 包含 本 地 鉴别 方式 (local) 。 因 此 ,PPP 鉴别 用 户 身 
份 时 ,采用 本 地 鉴别 方式 。 

2. 定义 注册 用 户 

本 地 鉴别 方式 可 以 直接 在 接 入 控制 设备 中 定义 注册 用 户 , 以 下 命令 用 于 定义 注册 
用 户 。 


Router (config)#username aaal password bbbl 


username aaal password bbbl 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 定义 用 户 
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名 为 aaal .口令 为 bbbl 的 注册 用 户 。 每 个 用 户 通过 启动 宽带 连接 程序 接 人 Internet 时 ， 
必须 输入 某 个 注册 用 户 的 用 户 名 和 口令 。 

3. 配置 PPP 

PPP 是 基于 点 对 点 信道 的 链 路 层 协议 ,以 太 网 接 人 过 程 中 ,用 PPP 会 话 仿真 点 对 点 
信道 ,由 PPPoE 建立 PPP 会 话 。 终 端 与 接 人 控制 设备 之 间 通 过 PPP 会 话 连接 。PPP 会 
话 接 入 控 制 设备 一 端 称 为 虚拟 接 入 接口 ,因此 , 接 入 控制 设备 通过 虚拟 接 入 接口 连接 
PPP 会 话 。 





Router (config) #vpdn enable 

Router (config) #vpdn-group bl 

Router (config-vpdn)faccept-dialin 

Router (config-vpdn-acc-in)$protocol pppoe 
Router (config-vpdn-acc-in)fvirtual-template 1 
Router (config-vpdn-acc-in)fexit 


Router (config-vpdn)fexit 


vpdn enable 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 启动 路 由 器 虚拟 专用 拨号 网 
络 功能 。 传 统 的 拨号 接 人 网络 是 通过 公共 交换 电话 网 (Public Switched Telephone 
Network,PSTN) 建 立 终端 与 接 人 控制 设备 之 间 的 语音 信道 ,通过 PPP 实现 对 终端 的 接 
入 控制 过 程 。Cisco 将 以 太 网 作为 接 入 网 络 , 通 过 PPP. 实现 对 终端 的 接 入 控制 过 程 的 宽 
带 接 人 方式 称 为 虚拟 专用 拨号 网 络 (Virtual Private Dialup Network. VPDN)。 

vpdn-group bl 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 有 两 个 : 一 是 创建 名 为 bl 
的 VPDN 组 ;二 是 进入 VPDN 组 配置 模式 。VPDN 组 配置 模式 下 可 以 对 该 VPDN 组 配 
置 相关 参数 ,为 某 个 VPDN 组 配置 的 参数 自动 作用 到 全 局 VPDN 模板 。 

accept-dialin 是 VPDN 组 配置 模式 下 使 用 的 命令 ,(config-vpdn)# 是 VPDN 组 配置 
模式 下 的 命令 提示 符 。 该 命令 的 作用 有 两 个 : 一 是 确定 该 VPDN 是 拨 入 网 络 ;二 是 进入 
拨 和 网络 配 置 模式 。 在 拨 入 网 络 配置 模式 下 可 以 定义 允许 接 入 的 虚拟 拨号 接 人 方式 及 相 
关 参 数 。 

protocol pppoe 是 拨 入 网 络 配置 模式 下 使 用 的 命令 ,(config-vpdn-acc-in) 六 是 拨 入 网 
络 配置 模式 下 的 命令 提示 符 。 该 命令 的 作用 是 指定 PPPoE 作为 拨 入 网 络 使 用 的 协议 。 

virtual-template 1 是 拨 入 网 络 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 指定 通过 使 
用 编号 为 1 的 虚拟 模板 创建 虚拟 接 人 接口 。 路 由 器 为 每 一 次 虚拟 拨号 接 人 过 程 创建 一 个 
虚拟 接 入 接口 ,该 接口 等 同 于 传统 拨号 接 入 网 络 连接 语音 信道 的 接口 ,需要 为 该 接口 配置 
相关 参数 。 为 编号 为 1 的 虚拟 模板 配置 的 参数 可 以 作用 到 所 有 与 该 虚拟 模板 关联 的 虚拟 
接 人 接口 。 

4. 配置 本 地 IP 地 址 池 

本 地 IP 地 址 池 是 路 由 器 RI 用 于 分 配给 接 入 终端 的 一 组 IP 地 址 。 以 下 是 定义 本 地 
IP 地 址 池 的 命令 。 


Router (config)#ip local pool cl 192.1.1.1 192.1.1.14 
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ip local pool cl 192. 1. 1. 1 192.1.1.14 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 
定义 一 个 名 为 cl IP 地 址 范围 为 192.1.1.1~192.1.1.14 的 本 地 IP 地 址 池 。 

5. 配置 虚拟 模板 

终端 通过 PPP 会 话 连接 接 人 控制 设备 , 接 人 控制 设备 通过 虚拟 接 人 接口 连接 PPP. 
会 话 , 虚 拟 模板 用 于 定义 虚拟 接 人 接口 的 相关 参数 。 








Router (config)#interface virtual-template 1 
Router (config-if)fip unnumbered FastEthernet0/0 
Router (config-if)fpeer default ip address pool c1 
Router (config-if)fppp authentication chap al 


Router (config-if)fexit 


interface virtual-template 1 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 有 两 个 : 一 是 
创建 编号 为 1 的 虚拟 模板 ;二 是 进入 虚拟 模板 配置 模式 。 为 该 虚拟 模板 配置 的 参数 作用 
于 所 有 与 该 虚拟 模板 关联 的 虚拟 接 人 接口 。 

ip unnumbered FastEthernet0/0 是 虚拟 模板 配置 模式 下 使 用 的 命令 , (config-if) & 
是 虚拟 模板 配置 模式 下 的 命令 提示 符 。 该 命令 的 作用 是 在 一 个 没有 分 配 IP 地 址 的 接口 
上 启动 IP 处 理 功 能 ;如 果 该 接口 需要 产生 并 发 送 报 文 ,使 用 接口 FastEthernet0/0 的 IP 
地 址 。 由 于 需要 为 每 一 次 接 入 过 程 创建 虚拟 接 入 接口 ,因此 不 可 能 为 每 一 个 虚拟 接 入 接 
口 分 配 IP 地 址 。 但 对 于 每 一 个 虚拟 接 入 接口 ,一 是 需要 启动 虚拟 接 入 接口 输入 /输出 TP 
分 组 的 功能 ;二 是 允许 虚拟 接 入 接口 产生 并 发 送 控制 报 文 ,如 路 由 消息 等 ,这 些 控 制 报 文 
需要 用 其 他 接口 的 IP 地 址 作为 其 源 IP 地 址 。 

peer default ip address pool cl 是 虚拟 模板 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 
将 接 入 终端 获取 IP 地 址 的 方式 指定 为 从 名 为 cl 的 本 地 IP 地 址 池 中 分 配 IP 地 址 。 由 于 
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ppp authentication chap al 是 虚拟 模板 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 有 两 
个 : 一 是 指定 挑战 握手 鉴别 协议 (Challenge Handshake Authentication Protocol, CHAP) 
作为 鉴别 接 和 人 用 户 的 鉴别 协议 ;二 是 用 名 为 al 的 鉴别 机 制 列 表 所 指定 的 鉴别 机 制 鉴别 接 
人 用 户 。 

6. 启动 接口 的 PPPoE 功能 

以 下 命令 序列 用 于 在 接口 FastEthernet0/0 上 启动 PPPoE, 


Router (config)#interface FastEthernet0/0 
Router (config-if)#pppoe enable 


Router (config-if)#exit 


pppoe enable 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 在 指定 以 太 网 接口 (这 
里 是 FastEthernet0/0) 上 启动 PPPoE 协议 。 用 户 终端 通过 以 太 网 实现 宽带 接 入 前 ,路 由 
器 连接 作为 接 入 网 络 的 以 太 网 的 接口 必须 启动 PPPOE 协议 ,通过 PPPoE 协议 创建 用 于 
连接 接 入 终端 的 PPP 会 话 。 
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7. 配置 静态 路 由 项 
以 下 命令 用 于 配置 一 项 目的 网 络 是 192. 1.1.0/28、 下 一 跳 地 址 是 192. 1. 2. 1 的 静态 
路 由 项 。 


Router (config)fip route 192.1.1.0 255.255.255.240 192.1.2.1 


ip route 192, 1. 1. 0 255. 255. 255. 240 192. 1. 2. 1 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作 
用 是 配置 一 项 静态 路 由 项 。192. 1. 1. 0 是 目的 网 络 的 网 络 地 址 。255. 255. 255. 240 是 目的 
网 络 的 子 网 掩 码 。192. 1. 2. 1 是 通 往 目的 网 络 的 传输 路 径 上 的 下 一 跳 路 由 器 的 卫 地 址 。 
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CD 启动 Packet Tracer, 在 逻辑 工作 区 根据 图 3. 1 所 示 的 宽带 接 人 网 络 结构 放置 和 
连接 设备 。 完 成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 如 图 3.2 所 示 。 
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图 3.2 完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 




















(2) 完成 路 由 器 接口 IP 地 址 和 子 网 掩 码 配置 过 程 。 完 成 各 台 路 由 器 的 路 由 协议 配 
置 过 程 和 静态 路 由 项 配置 过 程 。 路 由 器 Routerl 和 Router? 的 完整 路 由 表 分 别 如 图 3. 3 
和 图 3.4 所 示 。 由 于 为 接 入 终端 分 配 的 TP 地 址 范围 是 192. 1. 1. 1 一 192. 1. 1. 14, 可 以 用 
CIDR 地 址 块 192. 1. 1. 0/28 表示 该 组 IP 地 址 。 因 此 ,Router2 中 需要 配置 一 项 用 于 指明 
通 往 网 络 地 址 为 192. 1. 1. 0/28 的 网 络 的 传输 路 径 的 静态 路 由 项 。 该 路 由 项 不 能 由 RIP 
动态 生成 的 原因 是 : Routerl 各 个 接口 配置 的 IP 地 址 和 子 网 掩 码 并 不 能 说 明 Routerl H 
接连 接 网 络 地 址 为 192. 1. 1. 0/28 的 网 络 。 


Network 
1.0.0.0/8 


182.1.2.0/24 
192.1.3.0/24 





图 3.3 Routeri 路 由 表 
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Routing Table for Router? 
Network. 
192. 1.1.0/28 = 
192. 1.2.0/24 FastEthernet0/0 


192.1.3.0/24 FastEthernet0/1 





Ds 














3.4 Router2 路 由 表 


Routerl 中 没有 用 于 指明 通 往 网 络 地 址 为 192. 1. 1. 0/28 的 网 络 的 传输 路 径 的 路 由 
项 ,是 因为 Routerl 一 旦 为 某 个 接 人 终端 分 配 IP 地 址 ,路 由 表 中 将 动态 创建 一 项 将 与 该 
终端 之 间 的 PPP 会 话 和 分 配给 该 终端 的 TP 地 址 绑 定 在 一 起 的 路 由 项 。 

(3) 在 CLI( 命 令 行 接口 ) 配 置 方式 下 ,在 路 由 器 Routerl 中 定义 两 个 用 户 名 和 口令 
分 别 是 过 aaal,bbb1l 宝 和 过 aaa2,bbb2 二 的 注册 用 户 , 并 确定 采用 本 地 鉴别 方式 鉴别 用 户 
身份 。 

(4) 在 CLI( 命 令 行 接口 ) 配 置 方 式 下 ,在 路 由 器 Routerl 中 启动 虚拟 专用 拨号 网 络 
功能 ,并 配置 与 这 次 使 用 的 虚拟 拨号 接 人 方式 相对 应 的 虚拟 专用 拨号 网 络 的 相关 
属性 。 

(5) 在 CLI( 命 令 行 接口 ) 配 置 方式 下 ,在 路 由 器 Routerl 中 定义 本 地 IP 地 址 池 , 本 地 
IP 地 址 池 包 含 由 CIDR 地 址 块 192. 1.1.0/28 表示 的 一 组 TP 地 址 。 

(6) 用 户 终端 一 旦 完成 接 人 过 程 , 接 人 控制 设备 路 由 器 Routerl 与 用 户 终端 之 间 相 
当 于 建立 了 虚拟 点 对 点 线路 ,路 由 器 Routerl 等 同 于 创建 了 用 于 连接 虚拟 点 对 点 线路 的 
虚拟 接 入 接口 。 因 此 ,在 CLI( 命 令 行 接口 ) 配 置 方式 下 ,通过 在 路 由 器 Routerl 中 定义 虚 
拟 模板 的 方式 定义 建立 虚拟 点 对 点 线路 所 需要 的 相关 参数 。 

(7) 在 CLI( 命 令 行 接口 ) 配 置 方式 下 ,在 路 由 器 Routerl 连接 作为 接 入 网 络 的 以 太 
网 的 接口 上 启动 PPPoE 协议 。 

(8) 完成 PCO"Config( Ie 8.) "— * PPPoE Dialer(PPPoE 连接 程序 )” 操 作 过 程 ,弹出 
如 图 3. 5 所 示 的 PPPOE 连接 程序 界面 ,User Name( 用 户 名 ) 框 中 输入 有 效 注册 用 户 名 
aaal ,Password( 口 令 ) 框 中 输入 与 用 户 名 aaal 对 应 的 口令 bbbl , 单 击 Connect( 连 接 ) 按 
钮 ,完成 PC0 PPPoE 接 人 过 程 。 完 成 PPPoE 接 人 过 程 后 的 PPPoE 连接 程序 界面 如 
图 3.5 所 示 。 用 同样 的 方式 完成 PCI PPPoE 接 入 过 程 。 

(9) 查看 如 图 3. 6 所 示 的 路 由 器 Routerl 路 由 表 , 可 以 发 现 ,路 由 器 Routerl 直接 通 
过 虚拟 接 入 接口 连接 用 户 终端 ,并 将 连接 用 户 终端 的 虚拟 接 入 接口 和 分 配给 用 户 终端 的 
卫 地 址 绑 定 在 一 起 。 分 配给 用 户 终端 的 IP 地 址 从 TP 地 址 池 中 选择 。 如 果 虚 拟 接 入 接 
口 产 生 并 发 送 报 文 ,可 以 将 Routerl 接口 FastEthernet0/0 的 IP 地 址 作为 该 报 文 的 源 IP 
地 址 ,这 种 指定 似乎 将 Routerl 接口 FastEtherneto/0 作为 虚拟 接 入 接口 通 往 终端 的 传输 
路 径 上 的 下 一 跳 。 


316 命令 行 接口 配置 过 程 


1，Routerl 命令 行 接口 配置 过 程 
命令 序列 如 下 : 
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User Name 


Password 























图 3.5 PCO PPPoE 连接 程序 界面 


Renting Table for Routerl 


/1.0.0.0/8 FastEthernet0/0 — 
192.1.1.1/32 Virtusl-Accessl. 1 


182.1.1.2/32 Virtual-Accessl.2 
182.1.2.0/24 FastEthernet0/1 
182.1.3.0/24 FastEthernet0/1 








图 3.6 终端 接 入 后 的 Routerl 路 由 表 


Router»enable 

Router# configure terminal 

Router (config)#hostname Routerl 
Routerl(config)finterface FastEthernet0/0 
Routerl(config-if)$no shutdown 
Routerl(config-if)fip address 1.1.1.1 255.0.0.0 
Routerl(config-if)fexit 

Routerl(config)finterface FastEthernet0/1l 

Routerl (config-if)#no shutdown 
Routerl(config-if)fip address 192.1.2.1 255.255.255.0 


Routerl(config-if)fexit 
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Routerl(config)frouter rip 
Routerl(config-router)fnetwork 192.1.2.0 
Routerl(config-router)fexit 

Routerl(config)faaa new-model 
Routerl(config)faaa authentication ppp al local 
Routerl(config)fusername aaal password bbbl 
Routerl(config)fusername aaa2 password bbb2 
Routerl (config)#vpdn enable 

Routerl (config)fvpdn- group bl 

Routerl (config-vpdn)faccept-dialin 
Routerl(config-vpdn-acc-in)fprotocol pppoe 
Routerl(config-vpdn-acc-in)fvirtual-template 1 
Routerl(config-vpdn-acc-in)fexit 
Routerl(config-vpdn)fexit 

Routerl(config)fip local pool c1 192.1.1.1 192.1.1.14 
Routerl(config)finterface virtual-template 1 
Routerl(config-if)fip unnumbered FastEthernet0/0 
Routerl (config-if)#peer default ip address pool c1 
Routerl(config-if)fppp authentication chap al 
Routerl(config-if)fexit 
Routerl(config)finterface FastEthernet0/0 
Routerl(config-if)fpppoe enable 


Routerl(config-if)fexit 


2. Router2 命令 行 配置 过 程 
命令 序列 如 下 : 


Router»enable 

Router# configure terminal 

Router (config)#hostname Router2 

Router2 (config)finterface FastEthernet0/0 

Router2 (config-if)#no shutdown 

Router2 (config-if)#ip address 192.1.2.2 255.255.255.0 
Router2 (config)#interface FastEthernet0/1 

Router2 (config-if)#no shutdown 

Router2 (config-if)fip address 192.1.3.254 255.255.255.0 
Router2 (config)frouter rip 

Router2 (config-router)fnetwork 192.1.2.0 

Router2 (config-router)fnetwork 192.1.3.0 

Router2 (config-router)fexit 

Router2 (config)fip route 192.1.1.0 255.255.255.240 192.1.2.1 


3. 命令 列表 


路 由 器 命令 行 接口 配置 过 程 中 使 用 的 命令 及 功能 和 参数 说 明 如 表 3. 1 所 示 。 
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表 3.1 命令 列表 


功能 和 参数 说 明 





aaa new-model 


启动 Cisco 鉴别 、 授 权 和 计 费 接 和 控制 模型 





aaa authentication ppp | default | listname) 
methodl [method2...] 


为 PPP 定 义 鉴别 机 制 列 表 , 鉴 别 机 制 通过 参数 method 
指定 ,Packet Tracer 常用 的 鉴别 机 制 有 local( 本 地 )、 
group radius(radius 服务 器 统一 鉴别 ) 等 。 可 以 为 定义 
的 鉴别 机 制 列表 分 配 名 字 , 参 数 Listname 用 于 为 该 鉴 
别 机 制 列表 指定 名 字 。default 选项 将 该 鉴别 机 制 列表 
作为 默认 列表 





ppp authentication | protocoll [ protocol2... ]) 
[list-name | default] 


vpdn enable 


updm group name 


accept-dialin 


protocol {any |12f | I2tp | pppoe | pptp} 


virtual-template tem plate-number 


interface virtual-template number 


ip unnumbered type number 


pppoe enable 


ip local pool | default | pool/name) | lou-ip- 
address [ high-ip-address ]] 


为 PPP 指定 鉴别 协议 和 鉴别 机 制 。 参 数 protocol 用 于 
指定 鉴别 协议 ,pap 和 chap 是 Packet Tracer 常用 的 鉴 
别 协议 。 参 数 listname 用 于 指定 鉴别 机 制 列表 ， 
default 选 项 指定 默认 鉴别 机 制 列表 

启动 虚拟 专用 拨号 网 络 功能 


创建 由 参数 name 指定 的 VPDN 组 ,并 进入 VPDN 组 
配置 模式 。VPDN 组 配置 模式 下 主要 完成 作用 于 该 
VPDN 组 的 相关 VPDN 参数 的 配置 过 程 

启动 拨号 接 入 功能 ,并 进入 拨号 接 入 配置 模式 

指定 拨号 接 入 过 程 中 所 使 用 的 协议 

为 虚拟 接 入 接口 定义 虚拟 模板 。 参 数 template 
number 指定 虚拟 模板 号 

创建 虚拟 模板 ,创建 的 虚拟 模板 将 作用 于 动态 创建 的 
虚拟 接 和 接口。 参数 number 是 虚拟 模板 编号 
启动 一 个 没有 分 配 TP 地 址 的 接口 的 IP 处 理 功能 。 如 
果 该 接口 需要 产生 并 发 送 报 文 ,使 用 由 参数 type 
number 指定 的 接口 的 IP 地 址 


在 以 太 网 接口 启动 PPPoE 协议 


定义 地 址 池 。 参 数 lowip-address 和 high-ip-address 
用 于 确定 卫 地 址 池 的 地 址 范围 。 可 以 为 该 地 址 池 分 
配 名 字 poolname; 也 可 以 通过 选项 default 将 该 地 址 池 
指定 为 默认 地 址 池 








peer default ip address {ipaddress | dhep | 
pool [ pool-name 1) 


确定 虚拟 接 入 接口 另 一 端的 IP JE TEC R, A c 
ipaddress 指定 IP 地址。 通过 选项 dhep 指定 通过 
DHCP 服务 器 获得 。 通 过 选项 pool 指定 通过 地 址 池 获 
得 ,如 果 没 有 指定 地 址 池 名 pool-name ,选择 默认 地 址 池 





ip route prefix mask (ipaddress | inter face 


type inter face-number ) [distance] 


ik. He G TX RET ,斜体 是 命令 参数 。 


配置 静态 路 由 项 。 参 数 prefix 是 目的 网 络 的 网 络 地 
址 。 参 数 mask 是 目的 网 络 的 子 网 掩 码 。 参 数 ip 
address 是 下 一 跳 IP 地 址 ,参数 interfacetype 和 
inter face-number 是 输出 接口 (下 一 跳 IP 地 址 和 输出 
接口 只 需 一 项 。 除 了 点 对 点 网 络 ,一 般 需 要 配置 下 一 
跳 IP 地 址 ) 。 参 数 distance 是 可 选项 ,用 于 指定 静态 
路 由 项 的 距离 
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3.2 终端 ADSL 接 入 Internet 实验 


321 实验 内 容 


构建 如 图 3.7 所 示 的 接 入 网 络 ,终端 A 和 终端 B 通 过 启动 宽带 连接 程序 完成 接 人 
Internet 的 过 程 。 

图 3.7 所 示 的 接 入 网 络 和 图 3. 1 所 示 的 接 和 网络 之 间 的 差别 在 于 ,铺设 到 家 庭 的 不 
是 可 以 将 终端 接 入 以 太 网 的 双 绞 线 缆 , 而 是 用 户 线 (俗称 电话 线 ) ,通过 用 户 线 实 现 家 庭 中 
的 非 对 称 数字 用 户 线路 (Asymmetric Digital Subscriber Line; ADSL) Modem 与 本 地 局 中 
的 数字 用 户 线 接 人 复 用 器 (Digital Subscriber Line Access Multiplexer, DSLAM) 之 间 的 
互 连 。 终 端 可 以 通过 以 太 网 与 ADSL Modem 实现 互 连 。 对 于 终端 ,ADSL Modem 和 
DSLAM 是 透明 的 ,因此 ,图 3. 7 中 的 终端 A 和 终端 B 可 以 与 图 3. 1 中 的 终端 A 和 终端 
B 一 样 通过 宽带 连接 程序 接 入 Internet。 


3.2.2 实验 目的 


(1) 验证 ADSL Modem 与 终端 之 间 的 连接 过 程 。 

(2) 验证 DSLAM 与 ADSL Modem 之 间 的 连接 过 程 。 
(3) 验证 DSLAM 与 以 太 网 之 间 的 连接 过 程 。 

(4) 验证 终端 ADSL f£ A Internet 的 过 程 。 


323 实验 原理 


该 实验 在 第 3.1 节 中 的 终端 以 太 网 接 人 实验 的 基础 上 完成 ,主要 工作 在 于 : 实现 用 
户 线 互 连 ADSL Modem 和 DSLAM 的 过 程 ;实现 以 太 网 互 连 DSLAM 和 作为 接 入 控制 设 
备 的 路 由 器 RI 的 过 程 ;实现 以 太 网 互 连 终端 和 ADSL. Modem 的 过 程 。 单 个 DSLAM 设备 
可 以 连接 多 条 用 户 线 ,实现 多 个 基于 用 户 线 的 ADSL 接 入 网 络 与 以 太 网 之 间 的 互 连 。 


324 实验 步骤 


(1) 在 设备 类 型 选择 框 中 选择 Wan Emulation( 广 域 网 仿真 设备 ) ,在 设备 选择 框 中 
选择 DSL-Modem。 该 设备 有 两 个 接口 ,一 个 是 连接 双 绞 线 缆 的 以 太 网 接口 , 另 一 个 是 连 
接 电话 线 的 Modem 接口 。 用 该 设备 作为 图 3.7 中 的 ADSL Modem。 在 设备 类 型 选择 框 
中 选择 广域网 仿真 设备 ,在 设备 选择 框 中 选择 Generics(Cloud-PT)。 该 设备 有 两 个 连接 
电话 线 的 Modem 接口 和 一 个 连接 双 绞 线 缆 的 以 太 网 接口 ,要 想 用 该 设备 仿真 如 图 3. 7 
中 所 示 的 实现 基于 两 条 电话 线 的 两 个 ADSL. 接 人 网 络 与 以 太 网 互 连 的 DSLAM ,需要 通 
过 配置 将 两 个 连接 电话 线 的 Modem 接口 与 以 太 网 接口 绑 定 在 一 起 。 

Generics(Cloud-PT) 完 成 “Config( 配 置 )”>“DSL” 操 作 过 程 ,弹出 如 图 3.8 所 示 的 
于 将 连接 电话 线 的 Modem 接口 与 以 太 网 接口 绑 定 在 一 起 的 DSL 配置 界面 。 一 边 指定 连 
接 电话 线 的 Modem 接口 , 另 一 边 指定 以 太 网 接口 , 单 击 Add( 添 加 ) 按 钮 建立 Modem 接 
口 与 以 太 网 接口 之 间 的 绑 定 。 
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图 3.8 Cloud-PT 将 Modem 接口 与 以 太 网 接口 绑 定 在 一 起 的 界面 


如 果 需 要 删除 已 经 建立 的 某 个 连接 电话 线 的 Modem 接口 与 以 太 网 接口 之 问 的 绑 
定 , 选 中 该 绑 定 项 , 单 击 Remove( 删 除 ) 按 钮 。 
(2) 根据 图 3.7 所 示 的 接 人 网络 结构 ,完成 设备 放置 和 连接 过 程 。 终 端 以 太 网 接口 
与 DSL-Modem 以 太 网 接口 之 间 用 Copper Straight-Through( 直 连 双 绞 线 ) 互 连 , DSL- 
Modem Modem 接口 与 Generics (Cloud-PT)Modem 接口 之 间 用 Phone( 电 话 线 ) 互 连 。 
Generics(Cloud-PT) 以 太 网 接口 与 交换 机 之 间 用 交叉 双 绞 线 (Copper Cross-Over) 互 连 。 
完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 如 图 3. 9 所 示 。 其 他 实验 步骤 与 第 3. 1 节 中 的 
终端 以 太 网 接 人 实验 相同 ,这 里 不 再 歼 述 。 
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图 3.9 完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 
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3.3 统一 鉴别 实验 


3.3.1 实验 内 容 


要 求 如 图 3. 10 所 示 的 接 和 人 网 络 结构 实现 以 下 功能 : 允许 任何 一 个 注册 用 户 通 过 任 
何 一 台 接 入 终端 完成 Internet 访问 过 程 。 如 果 采 用 本 地 鉴别 方式 实现 这 一 功能 ,需要 在 
路 由 器 Rl 和 R2 中 定义 所 有 注册 用 户 ,但 这 样 做 ,一 是 会 导致 注册 用 户 多 次 重复 定义 ,二 
是 可 能 造成 注册 用 户 管理 困难 。 因 此 ,通常 采用 统一 鉴别 方式 实现 上 述 功能 。 


3.3.2 实验 目的 


(1) 验证 综合 接 和 人 网 络 的 设计 过 程 。 

(2) 验证 统一 鉴别 方式 下 接 人 控制 设备 的 配置 过 程 。 
(3) 验证 AAA 服务 器 的 配置 过 程 。 

(4) 验证 统一 鉴别 方式 下 的 接 人 过 程 。 


3.3.3 实验 原理 


统一 鉴别 方式 下 ,在 鉴别 服务 器 中 统一 定义 注册 用 户 ,图 3. 10 中 的 AAA 服务 器 就 是 
一 台 鉴 别 服务 器 。 当 作为 接 入 控制 设备 的 路 由 器 R1 和 R2 接收 到 用 户 发 送 的 用 户 名 和 口 
令 等 身份 标识 信息 时 ,通过 互联 网 将 身份 标识 信息 转发 给 鉴别 服务 器 ,由 鉴别 服务 器 判别 是 
否 是 注册 用 户 , 并 将 判别 结果 回 送 给 作为 接 人 控制 设备 的 路 由 器 Rl1 和 R2。 只 有 当 鉴别 服 
务 器 确定 是 注册 用 户 后 ,路 由 器 Rl 和 R2 才 继 续 完成 全 地 址 分 配 和 路 由 项 建立 等 工作 。 

作为 接 入 控制 设备 的 路 由 器 R1 和 R2 为 了 将 用 户 发 送 的 身份 标识 信息 安全 地 传输 
给 鉴别 服务 器 ,需要 获得 鉴别 服务 器 的 TP 地 址 ,以 及 配置 与 鉴别 服务 器 之 问 的 共享 密 钥 。 
每 一 台 接 和 人 控制 设备 的 配置 与 鉴别 服务 器 之 间 的 共享 密 钥 的 原因 有 两 个 : 一 是 通过 共享 
密 钥 实现 双向 身份 鉴别 ,避免 假冒 接 入 控制 设备 或 鉴别 服务 器 的 情况 发 生 ; 二 是 用 于 加 密 
接 入 控制 设备 与 鉴别 服务 器 之 间 传输 的 身份 标识 信息 和 鉴别 结果 。 

同样 ,鉴别 服务 器 针对 每 一 台 接 入 控制 设备 ,需要 配置 与 该 接 入 控制 设备 之 间 的 共享 
密 钥 ,每 一 台 接 入 控制 设备 由 IP 地 址 和 接 入 控制 设备 标识 符 唯一 标识 。 同 时 ,在 鉴别 服 
务 器 中 必须 定义 所 有 注册 用 户 。 


334 关键 命令 说 明 


1. 配置 接 入 控制 设备 鉴别 方式 
以 下 命令 序列 用 于 在 作为 接 入 控制 设备 的 路 由 器 中 指定 统一 鉴别 机 制 。 





Router (config)#aaa new-model 


Router (config)#aaa authentication ppp al group radius 
aaa authentication ppp al group radius 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 


创建 名 为 al 的 鉴别 机 制 列 表 , 鉴 别 机 制 列 表 中 指定 的 鉴别 方式 是 采用 基于 远程 鉴别 所 入 
用 户 服务 (Remote Authentication Dial In User Service, RADIUS) 协 议 的 统一 鉴别 方式 。 
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2. 配置 鉴别 服务 器 地 址 和 共享 密 铀 
以 下 命令 序列 用 于 在 作为 接 入 控制 设备 的 路 由 器 中 配置 鉴别 服务 器 的 IP 地 址 和 与 


鉴别 服务 器 之 间 的 共享 密 钥 。 





Router (config)fradius-server host 192.1.3.7 

Router (config)fradius-server key routerl 

radius-server host 192. 1. 3. 7 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 给 出 基于 
RADIUS 协议 的 鉴别 服务 器 的 IP 地 址 192. 1.3. 7. 

radius 一 server key router! 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 指定 用 于 相 
互 鉴别 接 人 控制 设备 与 鉴别 服务 器 身份 ,并 加 密 接 和 人 控制 设备 与 鉴别 服务 器 之 间 传输 的 
身份 标识 信息 的 共享 密 钥 router], 

3. 配置 设备 名 

以 下 命令 用 于 将 路 由 器 的 设备 名 定 为 routerl 。 





Router (config)#hostname routerl 


hostname router] 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 有 两 个 ; 一 是 将 命令 提 
示 符 中 的 设备 名 称 改 为 routerl, 二 是 定义 routerl 为 该 设备 的 设备 标识 符 。 


3.3.5 实验 步骤 
(1) 启动 Packet Tracer, 在 逻辑 工作 区 根据 如 图 3. 10 所 示 的 接 人 网 络 结构 放置 和 连 
接 设备 ,完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 如 图 3. 11 所 示 。 
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图 3.11 完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 


(2) 图 3. 11 中 作为 接 入 控制 设备 的 路 由 器 Routerl 和 Router2 的 配置 过 程 与 第 3. 1 
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节 中 的 路 由 器 Routerl 的 配置 过 程 相 比 ,存在 以 下 两 点 不 同 : 一 是 图 3. 11 中 的 Routerl 
和 Router? 需要 在 CLI( 命 令 行 接口 ) 下 配置 AAA Server 的 IP 地 址 ,以 及 与 AAA Server 
之 间 的 共享 密 钥 ; 二 是 图 3. 11 中 的 Routerl 和 Router2 不 需要 定义 注册 用 户 , 所 有 注册 
j 户 统一 在 AAA Server 中 定义 。 

(3) 完成 AAA Server"Services( 服 务 )”->“AAA” 操 作 过 程 ,弹出 如 图 3. 12 所 示 的 
AAA Server 配置 界面 。 首 先 ,建立 与 各 台 作 为 接 入 控制 设备 的 路 由 器 之 间 的 关联 。 建 
立 关联 过 程 中 ,ClientName( 客 户 端 名 字 ) 框 中 输入 设备 标识 符 , 如 作为 接 和 人 控制 设备 的 
路 由 器 Router2 的 设备 标识 符 router2。ClientIP( 客 户 端 卫 地 址 ) 框 中 输入 Routerl 和 
Router2 向 AAA 服务 器 发 送 RADIUS 报 文 时 ,用 于 输出 RADIUS 报 文 的 接口 的 IP 地 
址 , 即 Routerl 和 Router2 连接 互联 网 的 接口 的 IP 地 址 ,如 Router2 连接 互联 网 接口 的 
IP 地 址 192. 1. 2.2。Secret( 密 钥 ) 框 中 输入 Routerl 和 Router? 与 AAA 服务 器 之 间 的 
共享 密 钥 , 如 Router2 与 AAA 服务 器 之 间 的 共享 密 钥 router2。 如 图 3. 12 所 示 的 AAA 
Server 配置 界面 中 ,分 别 建立 了 与 Routerl 和 Router? 之 间 的 关联 。 其 次 ,定义 所 有 的 注 
册 用 户 。 定 义 注册 用 户 过 程 中 ,Username( 用 户 名 ) 框 中 输入 注册 用 户 的 用 户 名 ,如 aaa4。 
Password( 口 令 ) 框 中 输入 注册 用 户 的 口令 ,如 bbb4。 如 图 3. 12 所 示 的 AAA Server 配 
置 界 面 中 分 别 定义 了 用 户 名 为 aaal~aaa4 OSH bbbl~bbb4 的 4 个 注册 用 户 。 
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图 3.12. AAA Server 配置 界面 


(4) 统一 鉴别 方式 下 ,任何 注册 用 户 可 以 通过 任何 一 台 接 入 终端 完成 接 入 Internet 
的 过 程 ,图 3. 13 Bros E E EUH P1 <aaal , bbbll 3üid PCO 完成 接 入 Internet 的 过 程 ， 
图 3.14 所 示 是 注册 用 户 <aaa2 ,bbb2 之 通过 PC2 完成 接 入 Internet 的 过 程 。 

(5) PCO 和 PC2 成 功 接 入 Internet 后 ,路 由 器 Routerl, Router2 和 Router3 的 完整 
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图 3.13 PC0 成 功 接 入 Internet 界面 
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图 3.14 PC2 成 功 接 入 Internet 界面 




















路 由 表 分 别 如 图 3. 15. [8 3. 16 和 图 3. 17 所 示 。Router3 的 路 由 表 中 存在 两 项 用 于 分 别 
指明 通 往 网 络 192. 1. 1. 0/28 和 网 络 192. 1. 1. 16/28 的 传输 路 径 的 静态 路 由 项 。CIDR 
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地 址 块 192. 1. 1.0/28 是 Routerl 中 定义 的 IP 地 址 池 。CIDR 地 址 块 192. 1. 1. 16/28 是 
Router2 中 定义 的 IP 地址 池 。 


Network Port Next Hop IP 
10.0.0.0/8 FastEthernet0/0 -一 


192.1.1.1/32 Virtusl-Àccessl. 1 10.1.11 
192. 1.2.0/24 FastEthernet0/1 = 
192. 1.3. 0/24 FastEthernet0/1 192. 1.2. 254 








3.15 Routerl 路 由 表 


Network Port Next Hop IP Metric 
10.0.0.0/8 FastEthernet0/0 zc 
182.1.1.17/32 Virtual-Accessl.1 10.1.1.1 
192. 1.2.0/24 FastEthernet0/1 € 
192.1.3.0/24 FastEthernet0/1 192. 1.2. 254 


" 





E 3.16 Router2 路 由 表 


Network Next Hop IP Metric 
192.1.1.0/26 一 192.1.2.1 


192. 1. 1. 16/28 gps 192.1.2.2 
192. 1.2. 0/24 FastEthernet0/0 一 = 
192.1.3.0/24 FastEthernet0/1 kaza 

m 





Æ 3.17 Router3 路 由 表 


336 命令 行 接口 配置 过 程 


1. Routerl 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router>enable 

Router# configure terminal 

Router (config)finterface FastEthernet0/0 
Router (config-if)#no shutdown 

Router (config-if)#ip address 10.1.1.1 255.0.0.0 
Router (config-if)#exit 

Router (config)finterface FastEthernet0/1 
Router (config-if)#no shutdown 

Router (config-if)#ip address 192.1.2.1 255.255.255.0 
Router (config-if)#exit 

Router (config) #router rip 

Router (config-router)#network 192.1.2.0 


Router (config-router)#exit 
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Router (config)faaa new-model 

Router (config)faaa authentication ppp al group radius 
Router (config)fradius-server host 192.1.3.7 

Router (config)fradius-server key routerl 

Router (config)fhostname routerl 
routerl(config)fvpdn enable 

routerl (config)#vpdn- group bl 

routerl (config-vpdn)#accept-dialin 

routerl (config-vpdn-acc-in)#protocol pppoe 

routerl (config-vpdn-acc-in)#virtual-template 1 
routerl (config-vpdn-acc-in)#exit 

routerl (config-vpdn)#exit 

routerl(config)fip local pool cl 192.1.1.1 192.1.1.14 
routerl (config)#interface virtual-template 1 
routerl(config-if)fip unnumbered FastEthernet0/0 
routerl(config-if)fpeer default ip address pool cl 
routerl(config-if)fppp authentication chap al 
routerl(config-if)fexit 

routerl(config)finterface FastEthernet0/0 
routerl(config-if)fpppoe enable 


routerl(config-if)fexit 


2. Router2 有 关 鉴 别 服务 器 和 IP 地 址 池 的 配置 命令 
命令 序列 如 下 : 


Router (config)#radius-server key router2 
Router (config)#hostname router2 


router2 (config)#ip local pool cl 192.1.1.17 192.1.1.30 


3. Router3 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router>enable 

Router#configure terminal 

Router (config)#interface FastEthernet0/0 

Router (config-if)#no shutdown 

Router (config-if)#ip address 192.1.2.254 255.255.255.0 
Router (config-if)#exit 

Router (config)#interface FastEthernet0/1 

Router (config-if)#no shutdown 

Router (config-if)#ip address 192.1.3.254 255.255.255.0 
Router (config-if)fexit 

Router (config)frouter rip 

Router (config-router)f$network 192.1.2.0 

Router (config-router)$network 192.1.3.0 


Router (config-router)fexit 
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Router (config)fip route 192.1.1.0 255.255.255.240 192.1.2.1 
Router (config)fip route 192.1.1.16 255.255.255.240 192.1.2.2 


Router (config)fexit 


4. 命令 列表 
路 由 器 命令 行 接口 配置 过 程 中 使 用 的 命令 及 功能 和 参数 说 明 如 表 3.2 所 示 。 
表 3.2 命令 列表 
命令 格式 功能 和 参数 说 明 





指定 基于 RADIUS 协议 的 鉴别 服务 器 的 IP 地 址 。 参 数 ipaddress 用 
于 给 出 鉴别 服务 器 的 TP 地 址 


radius-server host ipaddress 





指定 用 于 相互 鉴别 路 由 器 和 鉴别 服务 器 身份 ,及 加 密 路 由 器 和 鉴别 服 
务 器 之 问 传输 的 身份 标识 信息 的 共享 密 钥 。 参 数 siring 指定 共享 密 
钥 。 路 由 器 和 鉴别 服务 器 必须 配置 相同 的 共享 密 钥 , 但 不 同 的 路 由 器 
与 鉴别 服务 器 可 以 配置 不 同 的 共享 密 钥 


指定 设备 名 称 。 参 数 name 是 设备 名 称 。 执 行 该 命令 后 ,用 参数 name 
指定 的 设备 名 称 作为 命令 提示 符 中 的 设备 名 称 。 当 需要 鉴别 该 设备 身 
份 时 ,参数 name 指定 的 设备 名 称 作为 该 设备 的 设备 标识 符 


注 : 粗 体 是 命令 关键 字 ,斜体 是 命令 参数 。 


radius-server key string 





hostname name 





以 太 网 安全 实验 


以 太 网 是 目前 最 普及 的 局 域 网 ,因此 ,也 存在 大 量 针对 以 太 网 的 攻击 行为 。 通 过 以 太 
网 安全 实验 ,可 以 掌握 利用 以 太 网 安全 技术 防御 黑客 攻击 的 方法 和 过 程 。 


4.1 访问 控制 列表 实验 





411 实验 内 容 

如 图 4. 1 所 示 ,交换 机 端口 1 的 访问 控制 列表 中 静态 配置 终端 A 的 MAC 地 址 ,交换 
机 其 他 端口 不 启动 安全 功能 ,将 终端 C 接 入 交 访问 控制 列表 
换 机 端口 2。 进行 以 下 操作 : 先 将 终端 A 接 入 00D0.BAB7.B7D9 











交换 机 端口 1 ,实现 终端 A 与 终端 C 之 间 的 数 
据 传输 过 程 :再 将 终端 B 接 人 交换 机 端口 1 , 进 
行 终端 B 与 终端 C 之 间 的 数据 传输 过 程 ,发 现 
交换 机 端口 1 自动 关闭 。 重 新 开启 交换 机 端 
口 1, 青 将 终端 A 接 入 交换 机 端口 1, 实 现 终端 





终端 A 终端 B 终端 C 
A 与 终端 C 之 间 的 数据 传输 过 程 。 00D0.BAB7.B7D9 ^ 0001.6403.B2D7 


图 4.1 访问 控制 列表 控制 终端 接 入 过 程 
4.1.2 实验 目的 | 
(1) 验证 交换 机 端口 静态 配置 访问 控制 列表 的 过 程 。 
(2) 验证 访问 控制 列表 控制 终端 接 入 的 过 程 。 
(3) 验证 关闭 端口 的 重新 开启 过 程 。 


413 实验 原理 


由 于 交换 机 端口 1 的 访问 控制 列表 中 静态 配置 了 终端 A 的 MAC 地 址 ,因此 当 终 端 
A 接 入 交换 机 端口 1 且 向 交换 机 端口 1 发 送 MAC 帧 时 ,MAC 帧 的 源 MAC 地 址 与 访问 
控制 列表 中 的 MAC 地 址 相同 ,交换 机 继续 转发 该 MAC 帧 。 当 终端 B 接 入 交换 机 端口 1 
且 向 交换 机 端口 1 发 送 MAC 帧 时 ,由 于 MAC 帧 的 源 MAC 地 址 与 访问 控制 列表 中 的 
MAC 地 址 不 同 ,因此 交换 机 丢弃 该 MAC 帧 ,并 关闭 交换 机 端口 1。 需 要 通过 特殊 的 命 
令 序列 才能 重新 开启 交换 机 端口 1 。 


Bas “以 太 网 安全 实验 w^ 
414 关键 命令 说 明 


以 下 命令 序列 用 于 完成 交换 机 端口 FastEthernet0/1 的 安全 功能 配置 过 程 。 


Switch(config)finterface FastEthernet0/1 

Switch (config-if)#switchport mode access 

Switch(config-if)fswitchport port-security 
Switch(config-if)fswitchport port-security maximum 1 
Switch(config-if)fswitchport port-security mac-address 00D0.BAB7.B7D9 
Switch(config-if)fswitchport port-security violation shutdown 


Switch(config-if)fexit 


switchport mode access 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 将 交换 机 端 
口 FastEthernet0/1 指定 为 接 信 端口。 交换机 端口 模式 可 以 是 以 下 三 种 模式 之 一 :access 
( 接 入 端口 ) .trunk( 共 享 端口 ) 和 dynamic( 动 态 端口 )。 只 有 接 入 端口 和 共享 端口 允许 启 
动 安全 功能 。 

switchport port-security 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 启动 交换 
机 端口 FastEthernet0/1 的 安全 功能 。 执 行 该 命令 前 ,交换 机 端口 FastEthernet0/1 处 于 
接 人 端口 模式 或 者 共享 端口 模式 。 

switchport port-security maximum 1 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 
是 指定 交换 机 端口 FastEthernet0/ 1 对 应 的 访问 控制 列表 中 的 最 大 MAC 地 址 数 ,这 里 的 
最 大 MAC 地 址 数 是 1 。 

switchport port-security mac-address 00D0. BAB7. B7D9 是 接口 配置 模式 下 使 用 的 
命令 ,该 命令 的 作用 是 静态 配置 访问 控制 列表 中 的 MAC 地 址 。00D0. BAB7. B7D9 是 十 
六 进 制 表示 的 48 位 MAC 地 址 。 

switchport port-security violation shutdown 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 
的 作用 是 指定 交换 机 端口 接收 到 源 MAC 地 址 不 属于 访问 控制 列表 中 的 MAC 地 址 的 
MAC 帧 时 所 采取 的 动作 。shutdown 表示 采取 的 动作 是 关闭 端口 。 重 新 开启 端口 需要 
执行 特殊 的 命令 序列 。 


415 ”实验 步骤 


(1) 完成 3 个 终端 PC0、PC1 和 PC2 的 网 络 信息 配置 过 程 。 将 PC2 连接 到 交换 机 端 
口 FastEthernet0/2。 在 CLI( 命 令 行 接口 ) 配 置 方式 下 ,完成 交换 机 端口 FastEthernet0/1 
安全 功能 配置 过 程 ,在 访问 控制 列表 中 静态 配置 PC0 的 MAC 地 址 。 将 PC0 连接 到 交换 
机 端口 FastEthernet0/1。 完 成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 如 图 4. 2 所 示 。 

(2) 启动 PC0 与 PC2 之 间 的 ICMP 报 文 交换 过 程 。PC0 和 PC2 之 间 能 够 成 功 交 换 
ICMP 报 文 。 

(3) 删除 PCO 与 交换 机 端口 FastEthernet0/1 之 间 的 连接 ,将 PCI 连接 到 交换 机 端 
口 FastEthernet0/1。 完 成 设备 连接 后 的 逻辑 工作 区 界面 如 图 4. 3 所 示 。 

(4) 启动 PCI 与 PC2 之 间 的 ICMP 报 文 交换 过 程 ,导致 交换 机 端口 FastEthernet0/1 关闭 。 
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图 4.3 PC1 接 入 交换 机 端口 FastEthernet0/1 时 的 逻辑 工作 区 界面 


(5) 通过 在 交换 机 端口 FastEthernet0/1 对 应 的 接口 配置 模式 下 执行 命令 shutdown 
和 no shutdown 重新 开启 交换 机 端口 FastEthernet0/1 ,但 只 有 当 PCO 接 入 该 交换 机 端口 
时 ,才能 正常 传输 MAC 帧 。 


416 命令 行 接口 配置 过 程 


1. 交换 机 安全 功能 配置 过 程 
命令 序列 如 下 : 


Switch>enable 

Switch#configure terminal 
Switch(config)#interface FastEthernet0/1 
Switch(config-if)#switchport mode access 


Switch(config-if)fswitchport port-security 


Eas WAS 


Switch(config-if)fswitchport port-security maximum 1 
Switch(config-if)fswitchport port-security mac-address 00D0.BAB7.B7D9 
Switch(config-if)fswitchport port-security violation shutdown 
Switch(config-if)fexit 


2. 重新 开启 交换 机 端口 FastEthernet0/1 的 命令 序列 
命令 序列 如 下 : 


Switch(config)finterface FastEthernet0/1 
Switch (config-if)#shutdown 
Switch (config-if)#no shutdown 


Switch(config-if)fexit 


3. 命令 列表 
交换 机 命令 行 接口 配置 过 程 中 使 用 的 命令 及 功能 和 参数 说 明 如 表 4.1 所 示 。 
表 4.1 命令 列表 
命令 格式 功能 和 参数 说 明 


将 交换 机 端口 模式 指定 为 以 下 三 种 模式 之 一 : access( 接 人 端口 )、 
trunk( 共 享 端 口 )、 根 据 链 路 另 一 端 端口 模式 确定 端口 模式 的 
dynamic( 动 态 端口 ) 


switchport port-security 启动 交换 机 端口 安全 功能 


switchport port-security maximum | 设置 访问 控制 列表 中 最 大 MAC 地 址 数 。 参 数 value 是 最 大 MAC 
value 地 址 数 
静态 配置 访问 控制 列表 中 的 MAC 地 址 ,MAC 地 址 数 不 能 超过 设 
置 的 最 大 MAC 地 址 数 。 参 数 macaddress 是 十 六 进 制 表示 的 48 
位 MAC 地 址 


指定 交换 机 接收 到 源 MAC 地 址 不 属于 访问 控制 列表 中 的 MAC 
地 址 的 MAC 帧 时 的 动作 。protect 只 是 丢弃 该 MAC Wi, restrict 
是 丢弃 该 MAC 帧 ,计数 丢弃 的 MAC 帧 数量 ,并 在 日 志 中 记录 该 
事件 。shutdown 是 丢弃 该 MAC 帧 ,计数 丢弃 的 MAC 帧 数量 ,在 
日 志 中 记录 该 事件 ,并 关闭 该 交换 机 端口 


注 : 粗 体 是 命令 关键 字 , 斜 体 是 命令 参数 。 


switchport mode {access| dynamic | 
trunk) 


switchport port-security mac- 


address macaddress 


switchport port-security violation 
[protect | restrict | shutdown] 





421 实验 内 容 


如 图 4. 4 所 示 ,将 交换 机 端口 1 设置 为 安全 端口 ,自动 将 先 学 习 到 的 两 个 MAC 地 址 
添加 到 访问 控制 列表 中 。 交 换 机 其 他 端口 不 启动 安全 功能 。 将 终端 D 接 入 交换 机 端口 
2。 进 行 以 下 操作 : 先 将 终端 A 接 入 交换 机 端口 1, 实 现 终端 A 与 终端 DD 之 间 的 数据 传 
输 过 程 ,此 时 终端 A 的 MAC 地 址 自动 添加 到 访问 控制 列表 中 ;然后 将 终端 B 接 入 交换 
机 端口 1 ,实现 终端 也 与 终端 D 之 间 的 数据 传输 过 程 ,此 时 终端 B 的 MAC 地 址 自动 添加 
到 访问 控制 列表 中 (添加 两 个 MAC 地 址 后 的 访问 控制 列表 如 图 4. 4 所 示 ); 再 将 终端 C 
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接 入 交换 机 端口 1 ,进行 终 端 C 与 终端 D 之 间 的 数据 传输 过 程 ,由 于 该 MAC 帧 的 源 
MAC 地 址 不 在 访问 控制 列表 中 , 且 访问 控制 列表 中 的 MAC 地 址 数 已 经 达到 最 大 MAC 
地 址 数 2 ,交换 机 丢弃 该 MAC 帧 。 如 果 再 将 终端 A 接 入 交换 机 端口 1 ,依然 可 以 实现 终 
Am A 与 终端 D 之 间 的 数据 传输 过 程 。 

访问 控制 列表 


0060.4756.50A6 
0004.9A4B.CD46 

















2 
[ E [ E] 
终端 A 终端 B 终端 C 


0060.4756.50A6 ^ 0004.9A4B.CD46 — 0006.2AEB.2BCE 
图 4.4 安全 端口 方式 下 终端 接 入 控制 过 程 


422 实验 目的 


(1) 验证 交换 机 端口 安全 功能 配置 过 程 。 

(2) 验证 访问 控制 列表 自动 添加 MAC 地 址 的 过 程 。 
(3) 验证 对 违规 接 入 终端 采取 的 各 种 动作 的 含义 。 
(4) 验证 安全 端口 方式 下 的 终端 接 入 控制 过 程 。 


423 实验 原理 


由 于 交换 机 端口 1 设置 为 安全 端口 , 且 将 访问 控制 列表 中 的 最 大 MAC 地 址 数 设置 
为 2, 因 此 , 当 分 别 将 终端 A 和 终端 B 接 入 交换 机 端口 1, 且 向 交换 机 端口 1 发 送 MAC 帧 
后 ,访问 控制 列表 中 已 经 添加 终端 A 和 终端 B 的 MAC 地 址 。 当 终端 C 接 入 交换 机 端口 
1 且 向 交换 机 端口 1 发 送 MAC 帧 时 ,由 于 MAC 帧 的 源 MAC 地 址 不 属于 访问 控制 列表 
中 的 MAC 地 址 , 且 访 问 控制 列表 中 的 MAC 地 址 数 已 经 达到 最 大 地 址 数 2, 因 此 ,交换 机 
丢弃 该 MAC lit. 


424 关键 命令 说 明 


1. 配置 端口 FastEthernet0/1 安全 功能 的 过 程 
以 下 命令 用 于 配置 交换 机 端口 FastEthernet0/1 的 安全 功能 。 





Switch(config)finterface FastEthernet0/1 
Switch(config-if)fswitchport mode access 
Switch(config-if)fswitchport port-security 
Switch(config-if)fswitchport port-security maximum 2 
Switch(config-if)fswitchport port-security mac-address sticky 


Switch(config-if)fswitchport port-security violation protect 
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Switch(config-if)fexit 


switchport port-security maximum 2 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 作 
是 将 访问 控制 列表 的 最 大 MAC 地 址 数 设 置 为 2。 

switchport port-security mac-address sticky 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 
的 作用 是 指定 sticky 作为 访问 控制 列表 中 MAC 地 址 的 添加 方式 ,这 种 添加 方式 自动 将 
通过 端口 FastEthernet0/1 接收 到 的 MAC 帧 的 源 MAC 地 址 添加 到 访问 控制 列表 中 ,但 
添加 的 MAC 地 址 数 受 设 定 的 最 大 MAC 地 址 数 限 制 , 因 此 , 当 设 定 的 最 大 MAC 地 址 数 为 
2 时 ,自动 将 最 先 接收 到 的 MAC 帧 中 的 两 个 不 同 的 源 MAC 地 址 添加 到 访问 控制 列表 中 。 

switchport port-security violation protect 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 
作用 是 指定 当 交 换 机 端口 接收 到 源 MAC 地 址 不 属于 访问 控制 列表 中 的 MAC 地 址 的 
MAC 帧 , 且 访问 控制 列表 中 的 MAC 地 址 数 已 经 达到 最 大 MAC 地 址 数 时 所 采取 的 动 
作 。protect 表示 采取 的 动作 只 是 丢弃 该 MAC 帧 。 

2. 显示 访问 控制 列表 中 MAC 地 址 的 过 程 

命令 序列 如 下 : 

















Switch>enable 


Switch# show port-security address 


show port-security address 是 特权 模式 下 使 用 的 命令 ,该 命令 的 作用 是 显示 访问 控 
制 列 表 中 的 MAC 地 址 。 


425 实验 步骤 


(1) 完成 4 个 终端 PC0、PC1、PC2 和 PC3 的 网 络 信息 配置 过 程 。 将 PC3 连接 到 交换 
机 端口 FastEthernet0/2。 在 CLI( 命 令 行 接口 ) 配 置 方式 下 ,完成 交换 机 端口 
FastEthernet0/1 安全 功能 配置 过 程 。 将 PCO 连接 到 交换 机 端口 FastEthernet0/1。 完 成 
设备 放置 和 连接 后 的 逻辑 工作 区 界面 如 图 4.5 所 示 。 
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图 4.5 PC0 连接 到 交换 机 端口 FastEthernet0/1 后 的 逻辑 工作 区 界面 
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(2) 启动 PC0 与 PC3 之 间 的 ICMP 报 文 交换 过 程 。PC0 和 PC3 之 间 能 够 成 功 交 换 
ICMP 报 文 。 

(3) 删除 PCO 与 交换 机 端口 FastEthernet0/1 之 间 的 连接 ,将 PCI 连接 到 交换 机 端 
口 FastEthernet0/1 ,启动 PC1 与 PC3 之 间 的 ICMP 报 文 交 换 过 程 。PC1 和 PC3 之 间 能 
够 成 功 交 换 ICMP 报 文 。 

(4) 查看 访问 控制 列表 中 的 MAC 地 址 ,如 图 4. 6 所 示 , 访 问 控制 列表 中 已 经 存在 
PCO fll PCI ff] MAC 地 址 。 


© Switch 





IOS Command Line Interface 


Switchfshow port-security address 
Secure Mac Address Table 


0004 .9A48.CD4€ SecureSticky 


1 

FastEthernet0/1 - 

1 0060.4756.50A6 SecureSticky 
/1 - 


Total Addresses in System [excluding one mac per port) 
Max Addresses limit in System (excluding one mac per port) - 
Suitchi] 





图 4.6 查看 访问 控制 列表 中 MAC 地 址 的 过 程 


(5) 删除 PCI 与 交换 机 端口 FastEthernet0/1 之 间 的 连接 ,将 PC2 连接 到 交换 机 端 
口 FastEthernet0/1 ,启动 PC2 与 PC3 之 间 的 ICMP 报 文 交换 过 程 。PC2 和 PC3 之 间 无 
法 交换 ICMP 报 文 , 但 交换 机 端口 FastEthernet0/1 的 工作 状态 没有 发 生变 化 。 如 果 再 
次 将 PC0 或 PCI 连接 到 交换 机 端口 FastEthernet0/1, 则 依然 能 够 与 PC3 成 功 交 换 
ICMP 报 文 。 


426 ”命令 行 接口 配置 过 程 


1. 交换 机 端口 FastEthernet0/1 的 安全 功能 配置 过 程 
命令 序列 如 下 : 





Switch>enable 

Switch#configure terminal 

Switch(config)finterface FastEthernet0/1 

Switch (config-if)#switchport mode access 
Switch(config-if)#switchport port-security 

Switch (config-if)#switchport port-security maximum 2 


Switch(config-if)#switchport port-security mac-address sticky 
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Switch(config-if)fswitchport port-security violation protect 
Switch(config-if)fexit 

2. 显示 交换 机 访问 控制 列表 中 MAC 地 址 的 过 程 

命令 序列 如 下 : 


Switch>enable 


Switch# show port-security address 


3. 命令 列表 
交换 机 命令 行 接口 配置 过 程 中 使 用 的 命令 及 功能 和 参数 说 明 如 表 4.2 所 示 。 
表 4.2 命令 列表 
命令 格式 功能 和 参数 说 明 


将 最 先 通过 交换 机 端口 学 习 到 的 个 MAC 地 址 作为 访问 控制 列表 中 
的 MAC 地 址 。n 是 访问 控制 列表 的 最 大 MAC 地 址 数 ,由 其 他 命令 
指定 


显示 访问 控制 列表 中 的 MAC 地 址 


switchport port-security mac- 
address sticky 





show port-security address 


注 : 粗 体 是 命令 关键 字 。 


4.3 Bj DHCP 欺骗 攻击 实验 


4.3.1 实验 内 容 


图 4.7 所 示 是 黑客 实施 钓鱼 网 站 的 常见 手段 。 黑 客 通过 在 网 络 中 接 入 伪造 的 DHCP 
服务 器 ,伪造 的 DNS 服务 器 和 伪造 的 Web 服务 器 ,使 用 户 用 正确 的 完全 合格 的 域名 
www. bank. com 访问 黑客 伪造 的 Web 服务 器 。 

如 图 4.7 所 示 的 钓鱼 网 站 实施 过 程 中 ,使 用 户 用 正确 的 完全 合格 的 域名 www. bank. 
com 访问 黑客 伪造 的 Web 服务 器 的 关键 是 ,终端 从 伪造 的 DHCP 服务 器 中 获取 网 络 信 
息 。 通 过 接 入 伪造 的 DHCP 服务 器 使 终端 从 伪造 的 DHCP 服务 器 中 获取 网 络 信息 的 过 
程 称 为 DHCP 欺骗 攻击 。 因 此 ,成 功 实施 DHCP 欺骗 攻击 是 成 功 实施 如 图 4.7 所 示 的 多 
鱼网 站 的 基础 。 

在 交换 机 中 启动 防 DHCP 欺骗 攻击 功能 ,在 接 入 伪造 的 DHCP 服务 器 的 情况 下 , 保 
证 终端 只 从 DHCP 服务 器 获取 网 络 信息 。 


4.3.2 实验 目的 


(1) 验证 DHCP 服务 器 配置 过 程 。 

(2) 验证 DNS 服务 器 配置 过 程 。 

(3) 验证 终端 用 完全 合格 的 域名 访问 Web 服务 器 的 过 程 。 
(4) 验证 DHCP 欺骗 攻击 过 程 。 

(5) 验证 钓鱼 网 站 实施 过 程 。 

(6) 验证 交换 机 防 DHCP 欺骗 攻击 功能 的 配置 过 程 。 
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433 实验 原理 


终端 通过 DHCP 自动 获取 的 网 络 信息 中 包含 本 地 域名 服务 器 地 址 ,对 于 如 图 4.7 
所 示 的 网 络 应 用 系统 ,DHCP 服务 器 中 给 出 的 本 地 域名 服务 器 地 址 是 192. 1. 2. 7 ,地址 
H 192.1.2.7 的 域名 服务 器 中 与 完全 合格 的 域名 www. bank. com 绑 定 的 Web 服务 器 
地 址 是 192.1.3.7。 因 此 ,终端 可 以 用 完全 合格 的 域名 www. bank. com 访问 Web 服 
务 器 。 

一 旦 终端 连接 的 网 络 中 接 入 伪造 的 DHCP 服务 器 ,终端 很 可 能 从 伪造 的 DHCP 服 
务 器 获取 网 络 信息 ,得 到 伪造 的 域名 服务 器 的 IP 地 址 192. 1. 3.1, 伪 造 的 域名 服务 器 中 
将 完全 合格 的 域名 www. bank. com 与 伪造 的 Web 服务 器 的 IP 地 址 192. 1. 2. 5 绑 定 在 
一 起 ,导致 终端 用 完全 合格 的 域名 www. bank. com 访问 伪造 的 Web 服务 器 。 

如 果 交 换 机 启动 防 DHCP 欺骗 攻击 的 功能 ,只 有 连接 在 信任 端口 的 DHCP 服务 器 
才能 为 终端 提供 自动 配置 网 络 信息 的 服务 。 因 此 ,对 于 如 图 4.7 所 示 的 实施 DHCP 欺骗 
攻击 的 网 络 应 用 系统 ,连接 终端 的 以 太 网 中 ,如 果 只 将 连接 路 由 器 R1 的 交换 机 端口 设置 
为 信任 端口 ,将 其 他 交换 机 端口 设置 为 非 信任 端口 , 则 终端 只 能 接收 由 路 由 器 R1 转发 的 
DHCP 消息 ,使 终端 只 能 获取 DHCP 服务 器 提供 的 网 络 信息 。 


4.3.4 关键 命令 说 明 


1. 启动 防 DHCP 欺骗 攻击 的 功能 
以 下 命令 序列 用 于 启动 交换 机 防 DHCP 欺骗 攻击 的 功能 。 





Switch(config)#ip dhcp snooping 
Switch(config)fip dhcp snooping vlan 1 
Switch(config)finterface FastEthernet0/4 
Switch(config-if)fip dhcp snooping trust 
Switch(config-if)fexit 


ip dhcp snooping 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 启动 DHCP 侦 听 功 能 。 
DHCP 侦 听 功能 包含 两 方面 内 容 : 一 是 通过 分 析 经 过 交换 机 传输 的 DHCP 消息 ,建立 
DHCP 侦 听 信息 库 , 侦 听信 息 库 中 建立 终端 MAC Jib LIP 地 址 与 终端 连接 的 交换 机 端 
口 之 间 的 绑 定 关系 ;二 是 确定 只 能 从 信任 端口 接收 DHCP 提供 或 确认 消息 。 

ip dhep snooping vlan 1 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 在 虚拟 局 域 网 
(Virtual LAN,VLAN)1 内 启动 DHCP 侦 听 功能 。 一 旦 在 VLAN 1 内 启动 DHCP 侦 听 
功能 ,默认 状态 下 ,所 有 属于 VLAN 1 的 交换 机 端口 都 成 为 非 信任 端口 ,必须 通过 配置 才 
能 把 属于 VLAN 1 的 某 个 交换 机 端口 设置 成 信任 端口 。 值 得 强调 的 是 ,每 一 个 VLAN 
必须 单独 启动 DHCP 侦 听 功能 。 

ip dhcp snooping trust 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 将 指定 交换 
机 端口 (这 里 是 FastEthernet0/4) 设 置 成 信任 端口 , 即 允 许 该 交换 机 端口 接收 DHCP 提 
供 或 确认 消息 。 
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需要 说 明 的 是 ,交换 机 端口 FastEthernet0/4 是 图 4. 8 中 交换 机 Switch0 连接 路 由 器 
Routerl 的 端口 。 

2. 显示 DHCP 侦 听 信息 库 

以 下 命令 用 于 显示 交换 机 DHCP 侦 听 信息 库 中 的 内 容 。 





Switch#show ip dhcp snooping binding 

show ip dhep snooping binding 是 特权 模式 下 使 用 的 命令 ,该 命令 的 作用 是 显示 
DHCP 侦 听 信息 库 中 的 内 容 , 即 MA C 地 址 IP 地 址 和 交换 机 端口 之 间 的 绑 定 关系 。 
435 实验 步骤 


(1) 该 实验 在 第 2. 5 节 中 的 钓鱼 网 站 实验 基础 上 进行 。 根 据 如 图 4. 7 所 示 的 钓鱼 网 
站 实施 过 程 完成 设备 放置 和 连接 ,完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 如 图 4.8 
所 示 。 
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图 4.8 完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 









































(2) 在 启动 交换 机 Switch0 Bj DHCP 欺骗 攻击 的 功能 前 ,PC0 很 可 能 从 伪造 的 
DHCP 服务 器 获取 网 络 信息 ,如 图 4. 9 所 示 , 得 到 的 DNS 服务 器 地 址 是 伪造 的 DNS 服务 
器 的 IP 地址 192. 1. 3. 1, 从 而 使 PCO 用 完全 合格 的 域名 www. bank. com 访问 伪造 的 
Web 服务 器 ,如 图 4. 10 所 示 。 

(3) 在 Switch0 CLI( 命 令 行 接口 ) 下 输入 用 于 启动 交换 机 防 DHCP 欺骗 攻击 的 功能 
的 命令 序列 。 让 PC0、PC1、PC2 再 次 通过 DHCP 自动 获取 网 络 信息 ,发 现 PC0、PC1、PC2 
只 从 DHCP 服务 器 获取 网 络 信息 。 如 图 4. 11 所 示 ,PC0 得 到 的 DNS 服务 器 地 址 是 正确 
的 DNS 服务 器 的 IP 地 址 192.1. 2.7, 从 而 使 PC0 用 完全 合格 的 域名 www. bank. com i} 
问 正确 的 Web 服务 器 ,如 图 4. 12 所 示 。 
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图 4.9 PC0 从 伪造 的 DHCP 服务 器 获取 的 网 络 信息 
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图 4.10 PC0 用 完全 合格 的 域名 访问 伪造 的 Web 服务 器 


(4) 显示 Switch0 的 DHCP 侦 听 信息 库 , 得 到 以 下 三 者 之 间 的 绑 定 关系 : 一 
Switch 连接 PCO, PCI, PC2 的 交换 机 端口 ; 二 是 PCO,PCI,PC2 的 MAC 地 址 ;三 
DHCP 服务 器 分 配给 PCO,PCI,PC2 的 IP 地址。 如 图 4. 13 所 示 ,FastEthernet0/1 
Switch0 连接 PCO 的 端口 ,00:D0:BC:E3:Al:C4 是 PC0 的 MAC 地 址 ,192. 1. 1. 13 
DHCP 服务 器 分 配给 PCO 的 IP dht. 
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图 4.11 PCO 从 DHCP 服务 器 获取 的 网 络 信息 
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图 4.12 PC0 用 完全 合格 的 域名 访问 正确 的 Web 服务 器 


436 ”命令 行 接口 配置 过 程 


1. Switch0 与 实现 防 DHCP 欺骗 攻击 功能 相关 的 命令 
命令 序列 如 下 : 


Switch»enable 
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Syitcht 
Switch? 

Switch? 

Switchf 

Syitcht 

Switch? 

Suitcht 

Switchf 

Switch 

Switchf 

Switch 

Switch#show ip dhcp snooping binding 

MacAddress Iphddress Lease|sec) Type VLAN Interface 





192.1.1.13 86400 dhep-snooping 1 
192.1.1.12 86400 dhep-snooping 1 

Fasi 

00:60:32:AE-36-5D 192.1.1.10 86400 dhep-snooping 1 


FastEthernet0/3 
Total number of bindings: 3 








图 4.13 Switchü DHCP 侦 听 信息 库 中 的 内 容 


Switch# configure terminal 

Switch (config)#ip dhcp snooping 

Switch (config)#ip dhcp snooping vlan 1 
Switch(config)finterface FastEthernet0/4 
Switch (config-if)#ip dhcp snooping trust 
Switch(config-if)fexit 


2. Switch0 查看 DHCP 侦 听 信息 库 的 命令 
命令 序列 如 下 : 


Switch»enable 


Switch# show ip dhcp snooping binding 


3. 命令 列表 
交换 机 命令 行 接口 配置 过 程 中 使 用 的 命令 及 功能 和 参数 说 明 如 表 4. 3 所 示 。 
表 4.3 命令 列表 
命令 格式 功能 和 参数 说 明 





ip dhcp snooping 启动 DHCP 侦 听 功能 





针对 一 个 或 一 组 VLAN 启动 DHCP 侦 听 功能 。 参 数 vlamrange 
ip dhcp snooping vlan vlarrange | 可 以 是 单个 VLAN ID, 或 是 多 个 用 逗号 分 隔 的 VLAN ID, 或 是 一 
组 连续 的 VLAN ID 








ip dhcp snooping trust 交换 机 端口 设置 为 信任 端口 





显示 DHCP 侦 听 信息 库 中 的 内 容 , 即 MAC 地 址 ,IP 地 址 和 交换 机 
端口 之 间 的 绑 定 关系 


注 : 粗 体 是 命令 关键 字 ,斜体 是 命令 参数 。 


show ip dhcp snooping binding 
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aX 
4.4 防 生成 树 欺骗 攻击 实验 


441 实验 内 容 


如 图 4. 14 所 示 , 用 交换 机 仿真 黑客 终端 。 首 先 将 仿 黑客 终端 的 交换 机 的 优先 级 设置 
为 最 高 ,使 该 交换 机 成 为 根 交换 机 ,导致 终端 A 与 终端 B 和 终端 C 之 间 传 输 的 数据 经 过 
该 交换 机 ;然后 将 交换 机 S1 和 S3 连接 仿 黑客 终端 的 交换 机 的 端口 设置 为 桥 协 议 数 据 单 
元 (Bridge Protocol Data Unit. BPDU) 防护 端口 。 
如 果 某 个 交换 机 端口 设置 为 BPDU 防护 端口 ,该 端 
口 一 旦 接收 到 BPDU ,将 立即 关闭 该 端口 。 因 此 ， 
仿 黑客 终端 的 交换 机 不 再 成 为 生成 树 的 一 部 分 , 终 
端 之 间 传 输 的 数据 不 再 经 过 该 交换 机 。 


4.4.2 实验 目的 


(1) 验证 交换 机 优先 级 对 构建 的 生成 树 的 
影响 。 

(2) 验证 生成 树 欺骗 攻击 过 程 。 

(3) 验证 防 生 成 树 欺骗 攻击 原理 。 

(4) 验证 防 生 成 树 欺骗 攻击 实现 过 程 。 图 4.14 以 太 网 结构 


4.4.3 实验 原理 


将 仿 黑客 终端 的 交换 机 的 优先 级 设置 为 最 高 后 ,根据 如 图 4. 14 所 示 的 以 太 网 结构 构 
建 的 生成 树 如 图 4. 15(a) 所 示 , 仿 黑客 终端 的 交换 机 成 为 根 交换 机 ,终端 A 与 终端 B 和 终 
端 C 之 间 传 输 的 数据 经 过 仿 黑客 终端 的 交换 机 。 

将 交换 机 SL 和 S3 连接 仿 黑客 终端 的 交换 机 的 端口 设置 为 BPDU 防护 端口 后 , 仿 黑 
客 终端 的 交换 机 一 旦 发 送 BPDU ,交换 机 S1 和 S3 将 关闭 连接 仿 黑客 终端 的 交换 机 的 端 
口 ,导致 仿 黑客 终端 的 交换 机 不 再 与 网 络 相连 , 仿 黑客 终端 的 交换 机 不 再 成 为 如 图 4. 15 
(b) 所 示 的 重新 构建 的 生成 树 的 一 部 分 ,终端 之 间 传 输 的 数据 不 再 经 过 仿 黑客 终端 的 交 
换 机 。 


444 关键 命令 说 明 


1. 设置 根 交换 机 优先 级 
以 下 命令 序列 用 于 指定 交换 机 生成 树 工作 模式 和 交换 机 优先 级 。 








Switch (config)#spanning-tree mode pvst 


Switch (config)#spanning-tree vlan 1 root primary 


spanning-tree mode pvst 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 将 交换 机 生成 
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终端 A 仿 黑 客 终端 C 终端 A 仿 黑客 终端 C 
终端 终端 
(a) 以 仿 黑客 终端 的 交换 机 为 根 的 生成 树 (b) 配置 DBDU 防 护 端口 后 的 生成 树 


4.15 生成 树 欺骗 攻击 和 防御 过 程 


树 协议 的 工作 模式 指定 为 基于 VLAN 的 生成 树 (Per-Vlan Spanning Tree,PVST) 模 式 。 
PVST( 基 于 VLAN 的 生成 树 ) 模 式 是 Cisco 最 基本 的 生成 树 工作 模式 , 它 为 每 一 个 
VLAN 构建 独立 的 生成 树 。 

spanning-tree vlan 1 root primary 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 将 交 
换 机 设置 成 基于 VLAN 1 的 生成 树 的 根 网 桥 。 该 命令 的 实际 作用 是 将 交换 机 在 构建 基 
于 VLAN 1 的 生成 树 中 所 具有 的 优先 级 指定 为 一 个 小 于 默认 值 的 特定 值 。 

2. 设置 BPDU 防护 端口 

以 下 命令 序列 用 于 将 交换 机 端口 FastEthernet0/4 设置 为 BPDU 防护 端口 。 











Switch(config)finterface FastEthernet0/4 
Switch(config-if)fsspanning-tree bpduguard enable 
Switch(config-if)fexit 


spanning-tree bpduguard enable 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 将 
交换 机 端口 (这 里 是 FastEthernet0/4) 设 置 为 BPDU 防护 端口 。 某 个 端口 设置 为 BPDU 
防护 端口 后 ,一旦 通过 该 端口 接收 到 BPDU ,交换 机 将 立即 关闭 该 端口 。 可 以 通过 输入 一 
组 特殊 的 命令 序列 重新 开启 该 端口 。 


445 实验 步骤 


(1) 根据 如 图 4. 14 所 示 的 以 太 网 结构 放置 和 连接 设备 。 完 成 设备 放置 和 连接 后 的 
逻辑 工作 区 界面 如 图 4. 16 所 示 。 

(2) 完成 终端 网 络 信息 配置 过 程 。 通 过 在 CLI( 命 令 行 接口 ) 下 输入 用 于 指定 交换 机 
生成 树 工作 模式 和 交换 机 优先 级 的 命令 序列 ,将 仿 黑客 终端 的 交换 机 (simulated hack) WR 
置 成 根 交换 机 。 

(3) 完成 生成 树 构建 过 程 后 ,切换 到 模拟 操作 模式 ,启动 PC0 至 PC1 ICMP 报 文 传输 
过 程 ,发 现 PC0 至 PCI 的 ICMP 报 文 经 过 仿 黑客 终端 的 交换 机 ,如 图 4. 17 所 示 。 
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图 4.17 仿 黑客 终端 的 交换 机 为 根 交换 机 的 生成 树 


(4) 通过 在 CLI( 命 令 行 接口 ) 下 输入 用 于 将 交换 机 端口 设置 为 BPDU 防护 端口 的 命 
令 序列 , 将 交换 机 Switchl 和 Switch3 连接 仿 黑客 终端 的 交换 机 的 端口 (这 里 是 
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FastEthernet0/4) 设 置 为 BPDU 防护 端口 。 仿 黑客 终端 的 交换 机 一 旦 向 交换 机 Switchl 
和 Switch3 发 送 BPDU ,交换 机 Switchl 和 Switch3 立即 关闭 连接 仿 黑 客 终端 的 交换 机 的 
端口 (这 里 是 FastEthernet0/4) ,使 仿 黑客 终端 的 交换 机 与 以 太 网 分 离 。 

(5) 仿 黑客 终端 的 交换 机 不 再 成 为 重新 构建 的 生成 树 的 组 成 部 分 。 切 换 到 模拟 操作 
模式 ,启动 PC0 至 PCI ICMP 报 文 传输 过 程 ,发 现 PCO 至 PCI 的 ICMP 报 文 不 再 经 过 仿 
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图 4.18 重新 构建 的 生成 树 
黑客 终端 的 交换 机 ,如 图 4.18 所 示 。 
446 命令 行 接口 配置 过 程 

L 仿 黑客 终端 交换 机 命令 行 接口 配置 过 程 

命令 序列 如 下 : 


Switch(config)fspanning-tree mode pvst 


Switch(config)fspanning-tree vlan 1 root primary 


2. Switchl 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Switch (config)#spanning-tree mode pvst 
Switch(config)finterface FastEthernet0/4 
Switch(config-if)fspanning-tree bpduguard enable 


Switch(config-if)fexit 


fam DUKBUETSS ^ 








3. 命令 列表 
交换 机 命令 行 接口 配置 过 程 中 使 用 的 命令 及 功能 和 参数 说 明 如 表 4.4 所 示 。 
表 4.4 命令 列表 
令 格 式 功能 和 参数 说 明 

spanning-tree mode { pvst | 设置 交换 机 生成 树 协议 工作 模式 ,可 以 选择 的 工作 模式 有 pvst 和 
rapid-pvst} rapid-pvst 
spanning-tree vlan vlamid 设置 交换 机 构建 基于 VLAN 的 生成 树 时 具有 的 优先 级 。 参 数 
priority priority vlarid 用 于 指定 VLAN, 参 数 priority 用 于 指定 优先 级 





spanning-tree vlan v/ar-id root | 将 交换 机 设置 成 基于 VLAN 的 生成 树 的 主根 交换 机 。 参 数 vlam 
primary id 用 于 指定 VLAN 





enable 选项 用 于 将 端口 设置 为 BPDU 防护 端口 ,disable 选项 用 于 
spanning-tree bpduguard {disable| | 将 端口 从 BPDU 防护 端口 还 原 为 普通 端口 。 某 个 端口 设置 为 
enable) BPDU 防护 端口 后 ,一 旦 通过 该 端口 接收 到 BPDU ,交换 机 将 立即 
关闭 该 端口 


注 : 粗 体 是 命令 关键 字 ,斜体 是 命令 参数 。 





4.5 VLAN 防 MAC 地 址 欺骗 攻击 实验 


451 实验 内 容 


以 太 网 结构 如 图 4. 19 所 示 ,如 果 终 端 C 将 自己 的 MAC 地 址 改 为 终端 A 的 MAC 地 
址 ,并 向 以 太 网 广播 一 帧 以 终端 A 的 MAC 地 址 为 源 MAC 地 址 .全 1 广播 地 址 为 目的 
MAC 地 址 的 MAC 帧 ,终端 B 发 送 给 终端 A 的 MAC 帧 将 被 以 太 网 错误 地 转发 给 终 
端 C。 

如 果 将 终端 A 和 终端 BB 划分 到 VLAN 2, 且 使 终端 C 不 属于 VLAN 2, 终 端 C 将 无 
法 通过 MAC 地 址 欺骗 攻击 获取 其 他 终端 发 送 给 终端 A 的 MAC 帧 。 











4.5.2 实验 目的 
COD 验证 通过 VLAN 划分 分 割 广播 域 的 
过 程 。 — 
(2) 了 解 每 一 个 VLAN 有 着 独立 的 转发 3 2 
表 的 含义 SI S3 
(3) m MAC 地 址 欺骗 攻击 的 范围 。 S : 
(4) 验证 通过 VLAN 划分 防御 MAC 地 
O L1 LJ 
址 欺骗 攻击 的 过 程 。 H 
终端 A 终端 B 终端 C 
gp C C 
453 实验 原理 IT 的。 19211294 1921134 


在 没有 划分 VLAN 前 ,交换 机 端口 属于 图 4.19 以 太 网 结构 
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默认 VLAN, 即 VLAN 1, 一旦 将 终端 A 和 终端 B 划分 到 VLAN 2, 将 终端 C 划分 到 
VLAN 1, 由 于 交换 机 中 每 一 个 VLAN 有 着 独立 的 转发 表 , 因 此 ,在 交换 机 SI VLAN 2 
对 应 的 转发 表 中 生成 终端 A 的 MAC 地 址 对 应 的 转发 项 后 ,即使 终端 C 将 自己 的 MAC 
地 址 改 为 终端 A 的 MAC 地 址 , 且 广 播 一 帧 以 终端 A 的 MAC 地 址 为 源 MAC 地 址 ,全 1 
广播 地 址 为 目的 MAC 地 址 的 MAC 帧 ,该 MAC 帧 只 能 影响 交换 机 SI VLAN 1 对 应 的 
转发 表 ,无 法 影响 交换 机 S1 VLAN 2 对 应 的 转发 表 , 如 图 4. 20 所 示 , 从 而 使 交换 机 S1 不 
会 将 终端 了 发 送 给 终端 A 的 MAC 帧 错误 地 从 端口 3 转发 出 去 。 
































S1 VLAN 2 转发 表 
MAC 地 址 。 ”转发 端口 
MACA 1 
MACB 2 
SI VLAN 1 转发 表 [1 O O 
MAC 地 址 转发 端口 m Hi 
MACA 3 终端 A 终端 B 终端 C 
MACA MACB MACC 
192.1.1.1/24 192.1.1.2/24 192.1.1.3/24 


图 4.20 VLAN 划分 过 程 


4.5.4 关键 命令 说 明 


1. 创建 VLAN 
以 下 命令 序列 用 于 创建 编号 为 2 的 VLAN. 





Switch (config)#vlan 2 
Switch (config-vlan)#name vlan2 


Switch (config-vlan)#exit 


vlan 2 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 有 两 个 : 一 是 创建 一 个 编号 为 2 
(VLAN ID=2) 的 VLAN; 二 是 进入 该 VLAN 的 配置 模式 。 

name vlan2 是 VLAN 配置 模式 下 使 用 的 命令 , Cconfig-vlan) # 是 VLAN 配置 模式 
下 的 命令 提示 符 。 该 命令 的 作用 是 为 特定 VLAN( 这 里 是 编号 为 2 的 VLAN) 定 义 一 个 
名 字 vlan2。 通 常情 况 下 ,为 每 一 个 VLAN 起 一 个 用 于 标识 该 VLAN 的 地 理 范围 或 作用 
的 名 字 , 如 Compute-ROOM, 

通过 exit 命令 退出 VLAN 配置 模式 ,返回 到 全 局 模式 。 

2. 分 配 接 入 端口 

以 下 命令 序列 用 于 将 交换 机 端口 FastEthernet0/1 作为 接 人 端口 分 配给 VLAN 2. 


Switch (config)#interface FastEthernet0/1 
Switch(config-if)fswitchport mode access 
Switch(config-if)fswitchport access vlan 2 
Switch(config-if)fexit 
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interface FastEthernet0/1 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 进入 交换 机 端口 
FastEthernet0/1 的 接口 配置 模式 ,交换 机 的 24 个 端口 的 编号 分 别 为 FastEthernet0/1 ~ 
FastEthernet0/24 , 

switchport mode access 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 将 特定 交换 
机 端口 (这 里 是 FastEthernet0/1) 指 定 为 接 人 端口 , 接 人 端口 是 非 标记 端口 ,从 该 端口 输 
入 /输出 的 MAC 帧 不 携带 VLAN ID, 

switchport access vlan 2 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 将 指定 交换 机 
端口 (这 里 是 FastEthernet0/1) 作 为 接 入 端口 分 配给 编号 为 2 的 VLAN(VLAN ID=2 
ff) VLAN). 

通过 exit 命令 退出 接口 配置 模式 ,返回 到 全 局 模式 。 


455 实验 步骤 


COD 根据 如 图 4. 19 所 示 的 以 太 网 结构 放置 和 连接 设备 ,完成 设备 放置 和 连接 后 的 逻 
辑 工作 区 界面 如 图 4. 21 所 示 。 
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4.21 完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 











(2) PCO 的 以 太 网 接口 配置 如 图 4. 22 所 示 , 其 MAC 地 址 为 0006. 2A2B. 865A。 

(3) 完成 PCO, PCI 和 PC2 之 间 ICMP 报 文 传输 过 程 。 将 PC2 的 MAC 地 址 改 为 
PCO 的 MAC 地址 0006.2A2B. 865A, 完 成 PC2 和 PC1 之 间 ICMP 报 文 传输 过 程 。 查 看 
Switch0 的 MAC 表 , 如 图 4.23 所 示 ,0006.2A2B. 865A 对 应 的 转发 端口 不 是 Switch0 XE 
接 PCO 的 端口 FastEthernet0/1, 而 是 Switch0 连接 Switchl 的 端口 FastEthernet0/3, 这 意 
味 着 交换 机 转发 表 将 通 往 PC2 的 交换 路 径 作为 通 往 MAC 地 址 为 0006. 2A2B. 865A 的 
终端 的 交换 路 径 。 

(4) 完成 交换 机 Switch0 Config( 配 置 )”->“VLAN Database(VLAN 数据 库 )” 操 作 
过 程 ,弹出 如 图 4. 24 所 示 的 创建 VLAN 界面 。VLAN Number( VLAN 编号 ) 框 中 输入 
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GLOBAL |+ FastEthernet0 a 
Settings ort Status Won 
Algorithm Settings landwidth &) 100 Mbps © 10 Mbps F] Auto 
INTERFACE EC © Half Duplex @ Full Duplex [V] Auto. 
— C Address [0006.2A28.865A 
IP Configuration 
© DHcp 
9 static 
IP Address 192.1.1.1 3 
Subnet Mask 255.255.255.0 
IPv6 Configuration 
© DHCP 
© Auto Config 
® Static 
1Pv6 Address 
Link Local Address:|FEBO::206:2AFF:FE28:865A 




















图 4.22 PC0 以 太 网 接口 信息 


新 创建 的 VLAN 的 编号 2CVLAN ID-2). 





VLAN Name(VLAN 名 字 ) 框 中 输入 新 创 『 whe Mess T 
建 的 VLAN 的 名 字 vlan2, VLAN 编号 具 外 

有 全 局 意 义 VLAN 名 字 只 有 本 地 意 义 000A 4153. A476 FastEthernet0/2 
单 击 Add (添加 ) 按钮 ,完成 编号 为 2 的 

VLAN 的 创建 过 程 图 4.23 划分 VLAN 前 的 Switch0 转发 表 


需要 指出 的 是 ,可 以 通过 在 CLI( 命 令 
行 接口 ) 下 输入 第 4.5.4 节 中 给 出 的 用 于 创建 编号 为 2 的 VLAN 的 命令 序列 完成 编号 为 
2 的 VLAN 的 创建 过 程 。 

(5) 完成 交换 机 Switch0“Config (配置 )”>“FastEthernet0/1” 操 作 过 程 ,弹出 如 
图 4.25 所 示 的 端口 FastEthernet0/1 配置 界面 。 端 口 模式 单 选 Access( 接 和 人 端口 )， 
VLAN 单 选编 号 为 2 的 VLAN, 完 成 将 交换 机 端口 FastEthernet0/1 作为 接 入 端口 分 配 
给 VLAN 2 的 过 程 。 以 同样 的 方式 完成 将 交换 机 端口 FastEthernet0/2 作为 接 入 端口 分 
配给 VLAN 2 的 过 程 。 

同样 ,可 以 通过 在 CLI( 命 令 行 接口 ) 下 输入 第 4. 5. 4 节 中 给 出 的 用 于 将 交换 机 端口 
FastEthernet0/1 作为 接 入 端口 分 配给 VLAN 2 的 命令 序列 完成 将 交换 机 端口 
FastEthernet0/2 作为 接 入 端口 分 配给 VLAN 2 的 过 程 。 

(6) 完成 PCO 和 PCI 之 间 ICMP 报 文 传输 过 程 。 将 PC2 的 MAC 地 址 改 为 PC0 的 
MAC 地 址 0006. 2A2B. 865A ,进行 PC2 和 PCI 之 间 的 ICMP 报 文 传输 过 程 ,结果 失败 。 
查看 Switch0 的 MAC 表 , 如 图 4. 26 所 示 ,VLAN 2 对 应 的 MAC 表 中 ,0006.2A2B. 865A 
对 应 的 转发 端口 是 Switch0 连接 PCO 的 端口 FastEthernet0/1。VLAN 1 对 应 的 MAC 
表 中 ,0006. 2A2B. 865A 对 应 的 转发 端口 是 Switch0 连接 Switchl 的 端口 FastEthernet0/ 
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In default 
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Eguivalent IOS Commands 














Switch (config) $ 
Switchiconfig)finterface FastEthernet0/1 
Switch (config-if)$ 

Switch (config-if)fexit 























E 4.24 Switch0 创建 VLAN 界面 
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Switch (contig 
Suitch (config: 
Switch (config 
Switch (config 


























E 4.25 Switch0 配置 端口 FastEthernet0/1 界面 
3。 表 明 VLAN 2 内 终端 发 送 给 PCO 的 MAC 帧 只 能 到 达 PC0。 
456 命令 行 接口 配置 过 程 


1. Switch0 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Switch>enable 


Switch#configure terminal 
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Mac Address Port 
0001.6308. 6901 FastEthernet0/3 


0006. 2A2B. 385A FastEthernet0/3 
0006. 2A2B. 865A FastEthernet0/1 
000A. 4153. A476 FastEthernet0/2 





4.26 划分 VLAN 后 的 Switchü 转发 表 


Switch (config)#vlan 2 

Switch (config-vlan)#name vlan2 
Switch(config-vlan)#exit 
Switch(config)finterface FastEthernet0/1 
Switch(config-if)fswitchport mode access 
Switch(config-if)fswitchport access vlan 2 
Switch(config-if)fexit 

Switch (config) #interface FastEthernet0/2 
Switch (config-if)#switchport mode access 
Switch(config-if)fswitchport access vlan 2 


Switch(config-if)fexit 


2. 命令 列表 
交换 机 命令 行 接口 配置 过 程 中 使 用 的 命令 及 功能 和 参数 说 明 如 表 4. 5 所 示 。 
表 4.5 命令 列表 
命令 格式 功能 和 参数 说 明 


创建 编号 由 参数 viarrid 指定 的 VLAN 


为 VLAN 指定 便于 用 户 理解 和 记忆 的 名 字 。 参 数 name 是 用 
PH VLAN 分 配 的 名 字 


进入 由 参数 port 指定 的 交换 机 端口 对 应 的 接口 配置 模式 


vlan vlar-id 


name name 


interface port 





将 交换 机 端口 模式 指定 为 以 下 三 种 模式 之 一 : access (HÀ Pig 
口 ) ,trunk( 标 记 端口 ) ,根据 链 路 另 一 端 端 口 模式 确定 端口 模 
式 的 dynamic( 动 态 端 口 ) 


switchport mode (access | dynamic | 
trunk) 








将 端口 作为 接 人 端口 分 配给 由 参数 ularid 指定 的 VLAN 
注 : 粗 体 是 命令 关键 字 ,斜体 是 命令 参数 。 


switchport access vlan v/ar-id 


无 线 局 域 网 安全 实验 


随 着 移动 终端 的 普及 ,无 线 局 域 网 日 益 成 为 使 用 最 广泛 的 局 域 网 。 无 线 局 域 网 的 无 
线 传输 特性 ,要求 AP 和 无 线路 由 器 必须 对 需要 与 其 建立 关联 的 终端 进行 身份 鉴别 ,同时 
需要 加 密 终端 与 AP 和 无 线路 由 器 之 间 传 输 的 数据 。 因 此 ,正确 配置 无 线 局 域 网 的 安全 
机 制 是 安全 使 用 无 线 局 域 网 的 前 提 。 


5.1 WEP 和 WPA2-PSK 实验 


5.1.1 实验 内 容 


无 线 局 域 网 结构 如 图 5. 1 所 示 , BSS1 采用 WEP 安全 机 制 ,BSS2 采用 WPA2-PSK 
安全 机 制 。 完 成 AP1 Aii A 和 终端 B 与 实现 WEP 安全 机 制 相关 参数 的 配置 过 程 。 完 
成 AP2 ,终端 和 终端 F 与 实现 WPA2-PSK 安全 机 制 相关 参数 的 配置 过 程 。 实 现 各 个 
终端 之 间 的 通信 过 程 。 








图 5.1 无 线 局 域 网 结构 


5.1.2 实验 目的 


(1) 验证 AP 和 终端 与 实现 WEP 安全 机 制 相关 的 参数 的 配置 过 程 。 

(2) 验证 AP 和 终端 与 实现 WPA2-PSK 安全 机 制 相 关 的 参数 的 配置 过 程 。 
(3) 验证 终端 与 AP 之 间 建 立 关联 的 过 程 。 

(4) 验证 属于 不 同 BSS 的 终端 之 间 的 数据 传输 过 程 。 
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513 实验 原理 


AP1 选 择 WEP 安全 机 制 ,配置 共享 密 钥 。 终 端 A 和 终端 也 同样 选择 WEP 安全 机 
制 ,配置 与 AP1 相同 的 共享 密 钥 。AP2 选择 WPA2-PSK 安全 机 制 ,配置 用 于 导出 PSK 
的 密 钥 。 终 端 E 和 终端 F 同样 选择 WPA2-PSK 安全 机 制 ,配置 与 AP2 相同 的 用 于 导出 
PSK 的 密 钥 。 

Packet Tracer 6. 2 中 终端 支持 Windows 的 自动 私有 IP 地 址 分 配 (Automatic 
Private IP Addressing. APIPA) 机 制 ,如 果 终 端 启动 自动 获得 IP. 地 址 方式 ,但 在 发 送 
DHCP 请 求 消息 后 一 直 没 有 接收 到 DHCP 服务 器 发 送 的 响应 消息 , 则 Windows 自动 在 
微软 保留 的 私有 网 络 地 址 169. 254. 0. 0/255. 255. 0. 0 中 为 终端 随机 选择 一 个 有 效 TP 地 
址 。 因 此 ,如 果 扩 展 服务 集中 的 所 有 终端 均 采用 这 一 IP 地 址 分 配方 式 , 则 无 须 为 终端 配 
置 TP 地 址 就 可 实现 终端 之 间 的 通信 过 程 ,安装 无 线 网 卡 的 终端 的 默认 获取 IP 地 址 方式 
就 是 DHCP 方式 。 


514 实验 步骤 


(1) 根据 如 图 5. 1 所 示 的 无 线 局 域 网 结构 放置 和 连接 设备 。 完 成 设备 放置 和 连接 后 
的 逻辑 工作 区 界面 如 图 5. 2 所 示 。 
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图 5.2 完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 


(2) 默认 情况 下 ,笔记 本 计算 机 安装 以 太 网 卡 ,为 了 接 入 无 线 局 域 网 ,需要 将 笔记 本 
计算 机 的 以 太 网 卡 换 成 无 线 网 卡 。 过 程 如 下 : 单 击 Laptop0, 弹 出 Laptop0 配置 界面 , 选 
择 Physical( 物 理 ) 配 置 选项 ,弹出 如 图 5. 3 所 示 的 安装 物理 模块 界面 。 关 掉 主 机 电源 ,将 
原来 安装 在 主机 上 的 以 太 网 卡 拖 放 到 左边 模块 栏 中 ,然后 将 模块 WPC300N 拖 放 到 主机 
原来 安装 以 太 网 卡 的 位 置 。 模 块 WPC300N 是 支持 2. 4G 频段 的 802. 11,802. 11b 和 
802. 11g 标准 的 无 线 网 卡 。 重 新 打开 主机 电源 。 用 同样 的 方式 ,将 其 他 笔记 本 计算 机 的 
以 太 网 卡 换 成 无 线 网 卡 。 

(3) 完成 Access Pointl “Config (配置 )”->“Port 1 (无线 端口 )” 操 作 过 程 ,弹出 如 


€? LaptopÜ 
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Physical | Config | Desktop | Software/Services | 
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The Linksys-WPC300N module provides one 2.4GHz wireless interface 
suitable for connection to wireless networks. The module supports protocols 


that use Ethernet for LAN access. 

















图 5.3 安装 无 线 网 卡 过 程 


图 5.4 所 示 的 Port 1( 无 线 端口 ) 配 置 界 面 。Authentication( 鉴 别 机 制 栏 ) 中 勾 选 WEP， 
Encryption Type( 加 密 类 型 ) 选 择 40/64-Bits(10 Hex digits) ,在 WEP Key(WEP 密 钥 ) 
框 中 输入 由 10 个 十 六 进 制 数字 组 成 的 40 位 密 钥 (这 里 是 0123456789) 。 在 SSID 框 中 输 
人 指定 的 SSID( 这 里 是 123456) 。Port Status( 端 口 状 态 ) 勾 选 On。 
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图 5.4 AP 与 实现 WEP 安全 机 制 相关 参数 的 配置 过 程 
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(4) 完成 LaptopO “Config t E) "—" Wireless0( 无 线 网 卡 )? 操 作 过 程 , 弹 出 如 图 5.5 
所 示 的 Wireless0( 无 线 网 卡 ) 配 置 界 面 。 在 Authentication (鉴别 机 制 ) 栏 中 选择 WEP, 
Encryption Type( 加 密 类 型 ) 选 择 40/64-Bits(10 Hex digits) ,在 WEP Key( WEP 密 钥 ) 
框 中 输入 与 Access Pointl 相同 的 由 10 个 十 六 进 制 数字 组 成 的 40 位 密 钥 ( 这 里 是 
0123456789), YE SSID 框 中 输入 与 Access Pointl 相同 的 SSID( 这 里 是 123456), Port 
Status( 端 口 状态 ) 色 选 On。 以 同样 的 方式 完成 Laptopl 与 实现 WEP 安全 机 制 相关 参数 
的 配置 过 程 。 完 成 Access Pointl,LaptopO 和 Laptopl 与 实现 WEP 安全 机 制 相 关 参 数 
的 配置 过 程 后 ,Laptop0 和 Laptopl 与 Access Pointl 之 间 成 功 建立 关联 ,如 图 5.9 所 示 。 
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图 5.5 Laptop) 与 实现 WEP 安全 机 制 相关 参数 的 配置 过 程 


(5) 终端 一 旦 选择 DHCP 方式 ,启动 自动 私有 IP 地 址 分 配 (APIPA) 机 制 , 在 没有 
DHCP 服务 器 为 其 配置 网 络 信息 的 前 提 下 ,由 终端 自动 在 私有 网 络 地 址 169. 254. 0. 0/ 
255. 255.0. 0 中 随机 选择 一 个 有 效 IP 地 址 作为 其 IP 地址 ,Laptop0 自动 选择 的 TP 地 址 
如 图 5. 5 所 示 , DHCP 方式 是 安装 无 线 网 卡 的 笔记 本 计算 机 默认 的 获取 网 络 信息 方式 。 

(6) 完成 Access Point2*Config (配置 )”>“Port 1 (无 线 端 口 )” 操 作 过 程 ,弹出 如 图 
5.6 所 示 的 Port 1( 无 线 端 口 ) 配 置 界面 。 在 Authentication( 鉴 别 机 制 ) 栏 中 选择 WPA2- 
PSK , Encryption Type( 加 密 类 型 ) 选 择 AES, 导 出 PSK 的 Pass Phrase( 密 钥 ) 框 中 输入 由 
8~63 个 字符 组 成 的 密 钥 (这 里 是 asdfghjk)。 在 SSID 框 中 输入 指定 的 SSID( 这 里 是 
123456), Port Status( 端 口 状 态 ) 勾 选 On. 

(7) 完成 Laptop2"Config( 配 置 )”->“Wireless0( 无 线 网 卡 )” 操 作 过 程 ,弹出 如 图 5.7 
所 示 的 Wireless0( 无 线 网 卡 ) 配 置 界面 。 在 Authentication( 鉴 别 机 制 ) 栏 中 选择 WPA2- 
PSK , Encryption Type( 加 密 类 型 ) 选 择 AES, 在 导出 PSK 的 Pass Phrase( 密 钥 ) 框 中 输入 
与 Access Point2 相同 的 由 8~63 个 字符 组 成 的 密 钥 (这 里 是 asdfghjk)。 在 SSID 框 中 输 
人 指定 的 SSID( 这 里 是 123456), Port Status( 端 口 状 态 ) 勾 选 On。 以 同样 的 方式 完成 
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图 5.6 AP 与 实现 WPA2-PSK 安全 机 制 相关 参数 的 配置 过 程 


Laptop3 与 实现 WPA2-PSK 安全 机 制 相关 参数 的 配置 过 程 。 完 成 Access Point2, 
Laptop2 和 Laptop3 与 实现 WPA2-PSK 安全 机 制 相 关 参 数 的 配置 过 程 后 , Laptop2 和 
Laptop3 5j Access Point2 之 间 成 功 建立 关联 ,如 图 5.8 所 示 。 
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图 5.7 Laptop? 与 实现 WPA2-PSK 安全 机 制 相关 参数 的 配置 过 程 


(8) 完成 PCO“ Desktop C 5 fij) "— "IP Configuration IP. 配置 )” 操 作 过 程 ,弹出 如 
图 5.8 所 示 的 PCO 网 络 信息 配置 界面 ,选择 DHCP, h PCO 自动 在 私有 网 络 地 址 
169. 254. 0. 0/255. 255. 0. 0 中 随机 选择 一 个 有 效 IP 地 址 作为 其 IP 地 址 ,PC0 自动 选择 
的 IP 地 址 如 图 5. 9 所 示 。 以 同样 的 方式 完成 PCI 获取 网 络 信息 过 程 。 
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图 5.8 笔记 本 计算 机 与 AP 之 间 成 功 建立 关联 后 的 逻辑 工作 区 界面 
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图 5.9 PCO 自动 获取 网 络 信息 过 程 


(9) 通过 简单 报 文 工具 启动 各 个 终端 之 间 的 ICMP 报 文 传输 过 程 ,验证 各 个 终端 之 


间 的 连通 性 。 


5.2.1 


5.2 WPA2 实验 


实验 内 容 


采用 WPA2 安全 机 制 的 无 线 局 域 网 结构 如 图 5. 10 所 示 。 由 于 WPA2 采用 基于 上 
户 的 身份 鉴别 机 制 和 统一 鉴别 方式 ,因此 需要 配置 AAA 服务 器 ,并 将 所 有 注册 





























户 的 身 


份 标识 信息 统一 记录 在 AAA 服务 器 中 。 任 何 一 个 注册 用 户 可 以 通过 任何 一 台 接 入 终端 
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与 对 应 的 无 线路 由 器 建立 关联 ,并 因此 实现 对 网 络 资源 的 访问 。 






192.1.1.254/24 路 由 器 192.1.2.254/24 Web 服 务 器 


192.1.2.3 





AAA 服务 器 
192.1.2.7 





5.10 无 线 局 域 网 结构 


5.2.2 实验 目的 


(1) 验证 无 线路 由 器 和 终端 与 实现 WPA2 安全 机 制 相关 参数 的 配置 过 程 。 
(2) 验证 无 线路 由 器 与 AAA 服务 器 相关 参数 的 配置 过 程 。 

(3) 验证 AAA 服务 器 配置 过 程 。 

(4) 验证 注册 用 户 通过 接 入 终端 与 无 线路 由 器 建立 关联 的 过 程 。 

(5) 验证 注册 用 户 通 过 接 入 终端 实现 网 络 资源 访问 的 过 程 。 


523 实验 原理 


每 一 个 用 户 完成 注册 后 ,获得 唯一 的 身份 标识 信息 : 用 户 名 和 口令 ,所 有 注册 用 户 的 
身份 标识 信息 统一 记录 在 AAA 服务 器 中 。 每 一 台 无 线路 由 器 中 需要 配置 AAA 服务 器 
的 IP 地址 和 该 无 线路 由 器 与 AAA 服务 器 之 间 的 共享 密 钥 。 当 无 线路 由 器 需要 鉴别 用 
户 身份 时 ,无 线路 由 器 只 将 用 户 提供 的 身份 标识 信息 转发 给 AAA 服务 器 ,由 AAA 服务 
器 完成 身份 鉴别 过 程 ,并 将 鉴别 结果 回 送 给 无 线路 由 器 。 


5.2.4 实验 步骤 


(1) 无 线 局 域 网 中 ,终端 与 无 线路 由 器 之 间 没 有 物理 连接 过 程 ,但 终端 必须 位 于 无 线 
路 由 器 的 有 效 通 信 范 围 内 ,因此 ,无 线 局 域 网 需要 在 物理 工作 区 中 确定 终端 与 无 线路 由 器 
之 间 的 距离 。 如 图 5. 11 所 示 ,选择 物理 工作 区 , 单 击 NAVIGATION (导航) 菜单 ,选择 
Home City( 家 园 城市 ) , 单 击 Jump to Selected Location( 跳 转 到 选择 位 置 ) 按钮 ,物理 工 
作 区 中 出 现 家 园 城市 界面 。 

(2) 在 设备 类 型 选择 框 中 选择 Wireless Devices( 无 线 设备 ) ,在 设备 选择 框 中 选择 无 
线路 由 器 (WRT300N)。 将 无 线路 由 器 拖 放 到 物理 工作 区 中 ,可 以 看 到 无 线路 由 器 的 有 
效 通信 范围 ,如 图 5. 12 所 示 。 将 笔记 本 计算 机 放置 在 无 线路 由 器 的 有 效 通 信 范 围 内 ,无 
线 设 备 选 择 无 线路 由 器 而 不 是 AP 的 原因 是 Packet Tracer 中 只 有 无 线路 由 器 支持 
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图 5.11 导航 到 家 园 城市 过 程 





WPA2。 在 物理 工作 区 中 根据 如 图 5. 10 所 示 的 无 线 局 域 网 结构 放置 和 连接 设备 。 完 成 
设备 放置 和 连接 后 的 物理 工作 区 界面 如 图 5. 12 所 示 。 
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5.12. 完成 设备 放置 和 连接 后 的 物理 工作 区 界面 
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(3) 切换 到 逻辑 工作 区 。 逻 辑 工作 区 界面 如 图 5.13 所 示 。 
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5.13 逻辑 工作 区 界面 


(4) 完成 无 线路 由 器 Routerl*Config( 配 置 )”->”*Wireless( 无 线 接口 )? 操 作 过 程 , 弹 
出 如 图 5. 14 所 示 的 Wireless( 无 线 接口 ) 配 置 界面 。 在 Authentication( 鉴 别 机 制 ) 栏 中 选 
择 WPA2。 在 RADIUS Server Settings(RADIUS 服务 器 配置 ) 栏 下 的 IP Address(IP 地 
址 ) 框 中 输入 RADIUS 服务 器 的 IP 地址 ,这 里 是 192. 1. 2.7。 在 Shared Secret( 共 享 密 
钥 ) 框 中 输入 该 无 线路 由 器 与 AAA 服务 器 之 间 的 共享 密 钥 ,这 里 是 routerl Encryption 
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图 5.14 无 线路 由 器 无 线 接口 配置 界面 
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Type( 加 密 类 型 ) 选 择 AES. fe SSID 框 中 输入 指定 的 SSID, 这 里 是 123456。 以 同样 的 
方式 完成 无 线路 由 器 Router2 无 线 接口 配置 过 程 。 

(5) 完成 无 线路 由 器 Routerl*Config( 配 置 )”->“Internet(Internet 接口 )” 操 作 过 程 ， 
弹出 如 图 5. 15 所 示 的 Internet(Internet 接口 ) 配 置 界 面 。 在 IP Configuration(IP 配置 ) 
栏 中 选择 Static( 静 态 )IP 地 址 配置 方式 。 在 Default Gateway( 默 认 网 关 地 址 ) 框 中 输入 
路 由 器 Router 连接 交换 机 Switch0 的 接口 的 IP 地 址 ,这 里 是 192. 1. 1. 254。 在 IP 
Address(IP 地 址 ) 框 中 输入 无 线路 由 器 Routerl Internet 接口 的 IP 地址 ,这 里 是 192. 1. 
1.1。 在 Subnet Mask( 子 网 掩 码 ) 框 中 输入 无 线路 由 器 Routerl Internet 接口 的 子 网 掩 
码 ,这 里 是 255. 255. 255. 0。 以 同样 的 方式 完成 无 线路 由 器 Router2 Internet 接口 配置 
过 程 。 
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图 5.15 无 线路 由 器 Routerl Internet 接口 配置 界面 


(6) 完成 AAA Server Desktop (H Hi) ”—>“IP Configuration OP 配置 )” 操 作 过 程 , 弹 
出 如 图 5. 16 所 示 的 AAA Server 网 络 信息 配置 界面 ,配置 的 IP 地 址 必须 与 无 线路 由 器 
Routerl , Router2 中 配置 的 RADIUS 服务 器 地 址 相同 。 

(7) 完成 AAA Server"ServicesC Ilt 45) " — * AAA " EE . 2E HB n 8] 5.17 所 示 的 
AAA Server 配 置 界 面 。 首 先 建立 与 无 线路 由 器 Routerl 和 Router2 之 间 的 关联 。 建 立 
关联 过 程 中 ,在 Client Name( 客 户 端 名 字 ) 框 中 输入 设备 标识 符 ,如 无 线路 由 器 Router2 
的 设备 标识 符 为 Router2。 在 客户 端 Client IPCIP 地 址 ) 框 中 输入 无 线路 由 器 Routerl 和 
Router2 向 AAA 服务 器 发 送 RADIUS 报 文 时 ,用 于 输出 RADIUS 报 文 的 接口 的 IP 地 
址 , 即 Routerl 和 Router2 Internet 接口 的 IP 地址 ,如 无 线路 由 器 Router2 Internet 接口 
的 IP 地 址 192.1.1.2。 在 Secret( 密 钥 ) 框 中 输入 Routerl 和 Router? 与 AAA 服务 器 之 
间 的 共享 密 钥 ,如 Router? 与 AAA 服务 器 之 间 的 共享 密 钥 router2。 如 图 5. 17 所 示 的 
AAA Server 配置 界面 中 ,分 别 建立 了 与 无 线路 由 器 Routerl 和 Router2 之 间 的 关联 。 
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图 5.16 AAA Server 网 络 信息 配置 界面 
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A 5.17 AAA Server 配置 界面 


然后 定义 所 有 的 注册 用 户 。 定 义 注册 用 户 过 程 中 ,在 Username( 用 户 名 ) 框 中 输入 注 
册 用 户 的 用 户 名 ,如 aaa4。 在 Password( 口 令 ) 框 中 输入 注册 用 户 的 口令 ,如 bbb4。 如 
图 5.17 所 示 的 AAA Server 配置 界面 中 ,分 别 定义 了 用 户 名 为 aaal ~aaa4 口令 为 bbbl~ 
bbb4 的 4 个 注册 用 户 。 

(8) 完成 Laptop0 * Config (配置 )”>“Wireless0 (无 线 网 卡 )” 操 作 过 程 ,弹出 如 
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图 5.18 所 示 的 Wireless0( 无 线 网 卡 ) 配 置 界 面 。 在 Authentication (鉴别 机 制 ) 栏 中 选择 
WPA2, 在 User ID( 用 户 名 ) 框 中 输入 某 个 注册 用 户 的 用 户 名 ,这 里 是 aaal。 在 
Password( 口 令 ) 框 中 输入 用 户 名 aaal 对 应 的 口令 bbbl Encryption Type( 加 密 类 型 ) 选 
f£ AES。 在 SSID 框 中 输入 指定 的 SSID, 这 里 是 123456, Port Status( 端 口 状 态 ) 勾 选 
On。 以 同样 的 方式 完成 Laptopl ,Laptop2 和 Laptop3 与 实现 WPA2 安全 机 制 相关 参数 
的 配置 过 程 。 完 成 Laptop0、Laptopl、Laptop2 和 Laptop3 与 实现 WPA2 安全 机 制 相关 
参数 的 配置 过 程 后 , Laptop0 和 Laptopl 与 无 线路 由 器 Routerl 之 间 成 功 建立 关联 ， 
Laptop2 和 Laptop3 与 无 线路 由 器 Router2 之 间 成 功 建立 关联 ,如 图 5. 18 所 示 。 
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图 5.18 笔记 本 计算 机 与 无 线路 由 器 之 间 成 功 建立 关联 后 的 逻辑 工作 区 界面 


笔记 本 计算 机 一 旦 选择 DHCP 方式 ,由 已 经 与 其 建立 关联 的 无 线路 由 器 为 其 分 配 网 
络 信息 ,无 线路 由 器 Routerl 为 Laptop0 分 配 的 网 络 信息 如 图 5. 19 所 示 。DHCP 方式 是 
安装 无 线 网 卡 的 笔记 本 计算 机 默认 的 获取 网 络 信息 方式 。 

(9) 通过 简单 报 文 工 具 ,启动 Laptop0, Laptopl , Laptop? 和 Laptop3 与 Web 服务 器 
之 间 的 ICMP 报 文 传输 过 程 ,验证 Laptop, Laptopl,Laptop2 和 Laptop3 与 Web 服务 器 
之 间 的 连通 性 。 需 要 说 明 的 是 ,只 能 由 笔记 本 计算 机 发 起 向 Web 服务 器 传输 ICMP 报 文 
的 过 程 ,不 能 由 Web 服务 器 发 起 向 笔记 本 计算 机 传输 ICMP 报 文 的 过 程 。 


525 命令 行 接口 配置 过 程 
以 下 是 路 由 器 Router 的 命令 行 接口 配置 过 程 。 


Router>enable 
Router#configure terminal 


Router (config)#interface FastEthernet0/0 
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图 5.19 Laptop0 与 实现 WPA2 安全 机 制 相关 参数 的 配置 过 程 


Router (config-if)#no shutdown 


Router (config-if)#ip address 192.1.1.254 255.255.255.0 


Router (config-if)#exit 


Router (config)#interface FastEthernet0/1 


Router (config-if)#no shutdown 


Router (config-if)#ip address 192.1.2.254 255.255.255.0 


Router (config-if)fexit 
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防 路 由 项 欺骗 攻击 和 策略 路 由 是 保证 IP 分 组 沿 着 正确 和 安全 的 传输 路 径 传输 的 安 
全 技术 。 流 量 管制 是 防止 拒绝 服务 攻击 的 有 效 手段 。 端 口 地 址 转换 (Port Address 
Translation,PAT) 和 网 络 地 址 转换 (Network Address Translation,NAT) 使 内 部 网 络 对 
于 外 部 网 络 是 不 可 见 的 。 热 备份 路 由 器 协议 (Hot Standby Router Protocol, HSRP) 用 于 
实现 默认 网 关 的 容错 和 负载 均衡 。 


6.1 OSPF 路 由 项 欺骗 攻击 和 防御 实验 


防御 路 由 项 欺骗 攻击 的 方法 是 实现 路 由 消息 源 端 鉴别 ,使 每 一 台 路 由 器 只 接收 和 处 
理 授权 路 由 器 发 送 的 路 由 消息 。 确 定 路 由 消息 是 否 是 授权 路 由 器 发 送 的 依据 是 : 发 送 路 
由 消息 的 路 由 器 是 否 和 接收 路 由 消息 的 路 由 器 拥有 相同 的 共享 密 钥 。Packet Tracer 不 
支持 路 由 信息 协议 (Routing Information Protocol,RIP) 的 路 由 消息 源 端 鉴别 功能 ,但 支 
持 开放 最 短路 径 优先 (Open Shortest Path First,OSPF) 的 路 由 消息 源 端 鉴别 功能 ,因此 ， 
通过 完成 OSPF 路 由 项 欺骗 攻击 和 防御 实验 验证 路 由 器 防 路 由 项 欺骗 攻击 功能 的 实现 


6.1.1 实验 内 容 


构建 如 图 6.1 所 示 的 由 3 台 路 由 器 互 连 4 个 网 络 的 互连网 ,通过 OSPF 生成 终端 A 
至 终端 也 的 TP 传输 路 径 ,实现 IP 分 组 终端 A 至 终端 B 的 传输 过 程 。 然 后 在 网 络 地 址 为 
192. 1. 2. 0/24 的 以 太 网 上 接 入 入侵 路 由 器 ,由 入 侵 路 由 器 伪造 与 网 络 192. 1. 4. 0/24 E 
接连 接 的 路 由 项 ,用 伪造 的 路 由 项 改变 终端 A 至 终端 也 的 IP 传输 路 径 , 使 终端 A 传输 给 
终端 B 的 IP 分 组 被 路 由 器 R1 错误 地 转发 给 入 侵 路 由 器 。 

启动 路 由 器 R1、R2 和 R3 的 路 由 消息 源 端 鉴别 功能 ,要 求 路 由 器 R1、R2 和 R3 发 送 
的 路 由 消息 携带 消息 鉴别 码 (Message Authentication Code, MAC) ,配置 相应 路 由 器 接口 
之 间 的 共享 密 钥 。 使 路 由 器 R1 不 再 接收 和 处 理 入 侵 路 由 器 发 送 的 路 由 消息 ,从 而 使 路 
由 器 R1 的 路 由 表 恢 复 正 常 。 


6.1.2 实验 目的 


(1) 验证 路 由 器 OSPF 配置 过 程 。 
(2) 验证 OSPF 建立 动态 路 由 项 过 程 。 
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(3) 验证 OSPF 路 由 项 欺骗 攻击 过 程 。 
(4) 验证 OSPF 源 端 鉴别 功能 的 配置 过 程 。 
(5) 验证 OSPF 防 路 由 项 欺骗 攻击 功能 的 实现 过 程 。 


613 实验 原理 


路 由 项 欺骗 攻击 过 程 如 图 6. 1 所 示 , 人 侵 路 由 器 伪造 了 和 网 络 192. 1. 4. 0/24 直接 连 
接 的 链 路 状态 信息 ,导致 路 由 器 R1 通过 OSPF 生成 的 动态 路 由 项 发 生 错误 ,如 图 6. 1 中 
R1 错误 路 由 表 所 示 。 解 决 路 由 项 欺骗 攻击 问题 的 关键 有 三 点 : 一 是 对 建立 邻接 关系 的 
路 由 器 的 身份 进行 鉴别 ,只 和 授权 路 由 器 建立 邻接 关系 ;二 是 对 相互 交换 的 链 路 状态 信息 
进行 完整 性 检测 ,只 接收 和 处 理 完整 性 检测 通过 的 链 路 状态 信息 ;三 是 通过 链 路 状态 信息 
中 携带 的 序号 确定 该 链 路 状态 信息 不 是 黑客 截获 后 重 放 的 链 路 状态 信息 。 实 现 上 述 功能 
的 基础 是 在 相 邻 路 由 器 中 配置 相同 的 共享 密 钥 ,相互 交换 的 链 路 状态 信息 和 Hello 报 文 
携带 由 共享 密 钥 加 密 的 序号 和 由 共享 密 钥 生 成 的 MAC( 消 息 鉴别 码 ), 通 过 消息 鉴别 码 
实现 路 由 消息 的 源 端 鉴别 和 完整 性 检测 ,全 部 过 程 如 图 6. 2 所 示 。 



























































K( 共 享 密 钥 ) 
路 由 
路 由 消息 路 由 [| HMAC 相等 ， 处 理 
消息 消息 -MD5 路 由 消息 
HMAC Mác 
-MD5 PAF. E 
E 弃 路 由 消息 
K( 共 享 密 钥 ) 
(a) 发 送 路 由 器 操作 过 程 (b) 接收 路 由 器 操作 过 程 


图 6.2 路 由 消息 源 端 鉴 别 和 完整 性 检测 过 程 


6.1.4 关键 命令 说 明 


1. OSPF 配置 过 程 
以 下 命令 序列 用 于 完成 OSPF 配置 过 程 。 


Router (config)#router ospf 11 
Router (config-router)#network 192.1.1.0 0.0.0.255 area 1 
Router (config-router)f$network 192.1.2.0 0.0.0.255 area 1 


Router (config-router)fexit 


router ospf 11 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 有 两 个 : 一 是 启动 进程 编号 
为 11 的 OSPF 进程 ;二 是 进入 OSPF 配置 模式 。 同 一 台 路 由 器 中 可 以 启动 多 个 进程 编号 
不 同 的 OSPF 进程 ,这 些 OSPF 进程 是 相互 独立 的 。 

network 192. 1. 1. 0 0. 0. 0. 255 area 1 是 OSPF 配置 模式 下 使 用 的 命令 , (config- 
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router) # Æ OSPF 配置 模式 下 的 命令 提示 符 。 该 命令 的 作用 是 指定 参与 创建 OSPF 动 
态 路 由 项 的 路 由 器 接口 和 路 由 器 直接 连接 的 网 络 。192. 1. 1.0 是 CIDR 地 址 块 起 始 地 
址 ,0.0.0.255 表明 网 络 前 缀 位 数 是 24 位 。 与 子 网 掩 码 相反 ,这 里 将 从 高 位 到 低位 连续 0 
的 位 数 作为 网 络 前 绥 的 位 数 。 路 由 器 中 所 有 IP 地 址 属于 CIDR 地 址 块 192. 1. 1. 0/24 的 
接口 参与 OSPF 创建 动态 路 由 项 过 程 , 这 些 接口 将 发 送 和 接收 OSPF 路 由 消息 。 路 由 器 
直接 连接 的 网 络 中 所 有 网 络 地 址 属于 CIDR 地 址 块 192. 1. 1. 0/24 的 网 络 参 与 OSPF 创 
建 动态 路 由 项 过 程 ,其 他 路 由 器 将 通过 OSPF 生成 用 于 指明 通 往 这 些 网 络 的 传输 路 径 的 
路 由 项 。1 是 区 域 编号 ,OSPF 可 以 把 一 个 大 的 自治 系统 划分 为 多 个 区 域 ,不 同 区 域 分 配 
不 同 的 区 域 编号 ,同一 区 域内 启动 OSPF 的 网 络 有 着 相同 的 区 域 编号 。 由 主干 区 域 将 这 
些 区 域 连接 在 一 起 ,主干 区 域 的 编号 固定 为 0。 

2. 源 端 鉴别 与 完整 性 检测 功能 配置 过 程 

(1) 指定 区 域 使 用 的 鉴别 机 制 

同一 区 域内 的 OSPF 进程 使 用 相同 的 鉴别 机 制 ,以 下 命令 序列 用 于 指定 区 域 1 内 使 
用 的 鉴别 机 制 。 





Router (config)#router ospf 11 


Router (config-router)#area 1 authentication message-digest 


area 1 authentication message-digest 是 OSPF 配置 模式 下 使 用 的 命令 ,该 命令 的 作 
用 是 指定 报 文摘 要 (message-digest) 鉴 别 机 制 ， NOCEO REL HC RE 实现 源 端 鉴 
别 和 完整 性 检测 功能 。 所 有 属于 区 域 1 的 路 由 器 接口 需要 配置 相同 的 鉴别 机 制 。 

(2) 指定 接口 鉴别 机 制 和 密 钥 

所 有 属于 同一 区 域 的 路 由 器 接口 需要 配置 相同 的 鉴别 机 制 。 连 接 在 同一 网 络 上 的 不 
同 路 由 器 接口 需要 配置 相同 的 密 钥 ,因为 相 邻 路 由 器 之 间 通 过 连接 在 同一 网 络 上 的 路 由 
器 接口 交换 链 路 状态 信息 。 以 下 命令 序列 用 于 指定 路 由 器 接口 的 鉴别 机 制 和 密 钥 。 


Router (config)#interface FastEthernet0/1 
Router (config-if)#ip ospf authentication message-digest 
Router (config-if)#ip ospf message-digest-key 1 md5 222222 


Router (config-if)#exit 


ip ospf authentication message-digest 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 
有 两 个 : 一 是 确定 对 通过 该 接口 发 送 的 路 由 消息 添加 根据 报 文摘 要 鉴别 机 制 生成 的 鉴别 
信息 ;二 是 确定 对 通过 该 接口 接收 到 的 路 由 消息 根据 报 文摘 要 鉴别 机 制 进行 源 端 鉴别 和 
完整 性 检测 。 

ip ospf message-digest-key 1 md5 222222 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 
作用 有 两 个 : 一 是 指定 密 钥 编号 为 1 的 密 钥 是 222222; 二 是 启用 密 钥 编号 为 1 的 密 钥 
222222 作为 报 文摘 要 鉴别 机 制 使 用 的 密 钥 。1 是 密 钥 编号 ,同一 接口 可 以 配置 多 个 密 钥 ， 
这 些 密 钥 用 密 钥 编号 区 分 ,但 同时 只 能 启用 一 个 密 钥 。 相 邻 路 由 器 实现 互 连 的 两 个 接口 
必须 配置 相同 的 密 钥 , 即 两 个 接口 配置 的 密 钥 编号 相同 的 密 钥 必须 是 相同 的 。 
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615 实验 步骤 


(1) 在 如 图 6. 1 所 示 的 互连网 结构 中 去 掉 入 侵 路 由 器 ,根据 去 掉 入 侵 路 由 器 后 的 互 
连 网 结构 放置 和 连接 设备 ,完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 如 图 6. 3 所 示 。 


Cisco Packet Tracer Student — Fz\ 网 络 技术 基础 与 计算 思维 实 型 VsavesVI-1-1. pkt 辐 回 加 
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6.3 完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 











(2) 根据 如 图 6. 1 所 示 的 各 个 路 由 器 接口 的 网 络 信息 完成 路 由 器 接口 IP 地 址 和 子 
网 掩 码 配置 过 程 。CLI( 命 令 行 接口 ) 配 置 方 式 下 ,完成 路 由 器 OSPF 配置 过 程 。 完 成 上 
述 配 置 过 程 后 ,路 由 器 Routerl 生成 如 图 6. 4 所 示 的 路 由 表 。OSPF 创建 的 动态 路 由 项 
192. 1. 4. 0/24,192. 1.2.253 之 表明 ,路 由 器 Router] 通 往 网 络 192. 1. 4.0/24 的 传输 路 
径 上 的 下 一 跳 是 路 由 器 Router? 连接 网 络 192. 1. 2.0/24 的 接口 。 
Routing Table for Mm - 
192. 1.1.0/24 FastEthernet0/0 


182.1.2.0/24 FastEthernet0/1 
192.1.3.0/24 FastEthernet0/1 


192.1.4.0/24 FastEthernet0/1 








图 6.4 路 由 器 Routerl 路 由 表 


(3) 通过 启动 PC0 与 PCI 之 间 的 ICMP 报 文 传输 过 程 ,验证 PCO 与 PCI 之 间 存 在 
IP 传输 路 径 。 

(4) 如 图 6. 5 所 示 ,用 路 由 器 Router 作为 人 侵 路 由 器 ,Router 其 中 一 个 接口 连接 网 
络 192. 1. 2. 0/24 ,分 配 TP 地 址 192. 1. 2. 37 和 子 网 掩 码 255. 255. 255. 0, Router 的 另 一 
个 接口 分 配 IP 地址 192. 1.4.37 和 子 网 掩 码 255. 255. 255. 0, 以 此 将 该 接口 伪造 成 与 网 
络 192.1.4.0/24 直接 连接 的 接口 。 在 CLI( 命 令 行 接口 ) 配 置 方式 下 ,完成 路 由 器 Router 
OSPF 配置 过 程 , 路 由 器 Router 发 送 表明 与 网 络 192. 1. 4. 0/24 直接 连接 的 路 由 消息 。 
该 路 由 消息 将 路 由 器 Routerl 的 路 由 表 改 变 为 如 图 6. 6 所 示 的 错误 路 由 表 , 错 误 路 由 表 
中 的 路 由 项 过 192. 1. 4. 0/24,192. 1. 2. 37 之 表明 ,路 由 器 Routerl 通 往 网 络 192. 1. 4. 0/ 








第 6 章 互连网 安全 实验 


24 的 传输 路 径 上 的 下 一 跳 是 路 由 器 Router 连接 网 络 192. 1. 2. 0/24 的 接口 。 
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图 6.6 接 入 入 侵 路 由 器 后 的 路 由 器 Routerl 路 由 表 


(5) 进入 模拟 操作 模式 ,启动 PCO 至 PCI 的 IP 分 组 传输 过 程 ,发 现 路 由 器 Routerl 
将 该 IP 分 组 转发 给 路 由 器 Router, 导 致 该 IP 分 组 无 法 到 达 PCI. 

(6) CLI( 命 令 行 接口 ) 配 置 方式 下 ,完成 路 由 器 Routerl , Router2 和 Router3 与 源 端 
鉴别 和 完整 性 检测 功能 相关 的 配置 过 程 ,为 相 邻 路 由 器 实现 互 连 的 接口 配置 相同 的 密 钥 。 
完成 上 述 配置 过 程 后 ,路 由 器 Routerl 的 路 由 表 如 图 6. 7 所 示 。 路 由 器 Routerl 通 往 网 
络 192. 1.4.0/24 的 传输 路 径 上 的 下 一 跳 重新 变 为 路 由 器 Router2 连接 网 络 192. 1. 2. 0/ 


24 的 接口 。 


Renting Table 


for Routeri 
Network 

192.1. 1.0/24 

192. 1.2.0/24 


192. 1.3. 0/24 
192. 1.4.0/24 


Port 
FastEthernet0/0 
FastEthernet0/1 
FastEthernet0/1 
FastEthernet0/1 


192. 1.2.253 
182.1.2.253 





à 








完成 源 端 鉴别 与 完整 性 检测 功能 配置 过 程 后 的 路 由 器 Routerl 路 由 表 
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616 命令 行 接口 配置 过 程 


1，Routerl 命令 行 接口 配置 过 程 
(D 接口 和 OSPF 配置 过 程 
命令 序列 如 下 : 


Router»enable 

Router# configure terminal 

Router (config)finterface FastEthernet0/0 

Router (config-if)fno shutdown 

Router (config-if)fip address 192.1.1.254 255.255.255.0 
Router(config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)f$no shutdown 

Router (config-if)fip address 192.1.2.254 255.255.255.0 
Router (config-if)fexit 

Router (config)frouter ospf 11 

Router (config-router)fnetwork 192.1.1.0 0.0.0.255 area 1 
Router (config-router)f&network 192.1.2.0 0.0.0.255 area 1 


Router (config-router)fexit 


(2) 源 端 鉴别 与 完整 性 检测 功能 配置 过 程 
命令 序列 如 下 : 


Router (config)frouter ospf 11 

Router (config-router)farea 1 authentication message- digest 
Router (config-router)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)fip ospf authentication message-digest 
Router (config-if)#ip ospf message-digest-key 1 md5 222222 


Router (config-if)fexit 


2. Router? 命令 行 接口 配置 过 程 
(1) 接口 和 OSPF 配置 过 程 
命令 序列 如 下 : 


Router»enable 

Router# configure terminal 

Router (config)finterface FastEthernet0/0 

Router (config-if)#no shutdown 

Router (config-if)fip address 192.1.2.253 255.255.255.0 
Router (config-if)fexit 

Router (config)finterface FastEthernet0/1 


Router (config-if)fno shutdown 
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Router (config-if)#ip address 192.1.3.254 255.255.255.0 
Router (config-if)fexit 

Router (config)frouter ospf 22 

Router (config-router)f$network 192.1.2.0 0.0.0.255 area 1 
Router (config-router)f&network 192.1.3.0 0.0.0.255 area 1 


Router (config-router)fexit 


(2) 源 端 鉴别 与 完整 性 检测 功能 配置 过 程 
命令 序列 如 下 : 


Router (config)#router ospf 22 

Router (config-router)#area 1 authentication message-digest 
Router (config-router)#exit 

Router (config)#interface FastEthernet0/0 

Router (config-if)#ip ospf authentication message-digest 
Router (config-if)#ip ospf message-digest-key 1 md5 222222 
Router (config-if)#exit 

Router (config)#interface FastEthernet0/1 

Router (config-if)#ip ospf authentication message-digest 
Router (config-if)#ip ospf message-digest-key 1 md5 333333 


Router (config-if)#exit 


Router3 的 命令 接口 配置 过 程 与 Routerl 的 命令 行 接口 配置 过 程 相似 ,不 再 闭 述 。 
3. Router 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router>enable 

Router#configure terminal 

Router (config)#interface FastEthernet0/0 

Router (config-if)#no shutdown 

Router (config-if)#ip address 192.1.2.37 255.255.255.0 
Router (config-if)#exit 

Router (config)#interface FastEthernet0/1 

Router (config-if)#no shutdown 

Router (config-if)#ip address 192.1.4.37 255.255.255.0 
Router (config-if)fexit 

Router (config)frouter ospf 77 

Router (config-router)f&network 192.1.2.0 0.0.0.255 area 1 
Router (config-router)f$network 192.1.4.0 0.0.0.255 area 1 


Router (config-router)fexit 


4. 命令 列表 
路 由 器 命令 行 接口 配置 过 程 中 使 用 的 命令 及 功能 和 参数 说 明 如 表 6. 1 所 示 。 
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命令 格式 


表 6.1 命令 列表 
功能 和 参数 说 明 





router ospf process-id 


一 是 启动 以 参数 processid 为 进程 编号 的 OSPF 进程 ,二 是 进入 
OSPF 配置 模式 





network ipaddress wildcard- 
mask area area-id 


指定 参与 以 参数 arerid 为 区 域 编号 的 OSPF 创建 动态 路 由 项 过 程 
的 路 由 器 接口 和 路 由 器 直接 连接 的 网 络 。 参 数 ipaddress 是 CIDR 
地 址 块 的 起 始 地 址 ,参数 wildcard-mask 是 子 网 掩 码 的 反 码 ,这 两 个 
参数 确定 CIDR 地 址 块 ,所 有 IP 地 址 属于 该 CIDR 地 址 块 的 路 由 器 
接口 和 直接 连接 的 网 络 中 网 络 地 址 属于 该 CIDR 地 址 块 的 网 络 参与 
区 域 编号 为 area-id 的 OSPF 创建 动态 路 由 项 的 过 程 





area area-id. authentication 
[ message-digest | 


ip ospf authentication [ message- 
digest | null] 


ip ospf message-digest-key 
key-id md5 key 





指定 属于 区 域 编号 为 areaid 的 路 由 器 接口 所 采用 的 源 端 鉴别 和 完 
整 性 检测 机 制 


指定 路 由 器 接口 所 采用 的 源 端 鉴别 和 完整 性 检测 机 制 。null 选项 用 
于 终止 路 由 器 接口 已 经 启动 的 源 端 鉴 别 和 完整 性 检测 功能 


指定 路 由 器 接口 基于 报 文摘 要 的 源 端 鉴 别 和 完整 性 检测 机 制 下 使 用 
的 密 钥 。 参 数 key-id 是 密 钥 编号 ,参数 key 是 密 钥 


i. 粗 体 是 命令 关键 字 , 斜 体 是 命令 参数 。 


6.2.1 实验 内 容 


6.2 策略 路 由 项 实验 


互连网 结构 如 图 6. 8 所 示 , 根 据 最 短路 径 原 则 , RIP 生成 的 路 由 器 R1 通 往 网 络 
NET?2 的 传输 路 径 是 RIi>R5 一 R4>NET2。 如 果 基 于 安全 原因 ,不 允许 目的 终端 是 终端 
C 的 I 分 组 经 过 路 由 器 R5, 需 要 在 路 由 器 R1 中 配置 静态 路 由 项 ,静态 路 由 项 将 通 往 终 
3m C 的 传输 路 径 上 的 下 一 跳 设 置 成 路 由 器 R2, 由 于 静态 路 由 项 的 优先 级 高 于 RIP 生成 
的 动态 路 由 项 ,因此 ,路 由 器 R1 将 目的 IP 地 址 为 IP CHY IP 分 组 转发 给 路 由 器 R2。 由 
于 Packet Tracer 中 的 路 由 器 不 支持 策略 路 由 功能 ,因此 ,用 静态 路 由 项 仿真 策略 路 由 


过 程 。 





Li NETI 


R2 R3 R4 











R5 
图 6.8 互连网 结构 
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622 实验 目的 


(1) 验证 RIP 生成 动态 路 由 项 的 过 程 。 

(2) 验证 最 长 前 组 匹配 过 程 。 

(3) 验证 静态 路 由 项 改变 IP 分 组 传输 路 径 的 过 程 。 
(4) 验证 基于 安全 理由 规避 特定 路 由 器 的 过 程 。 


6.2.3 实验 原理 


为 特殊 目的 终端 选择 IP 分 组 传输 路 径 的 关键 是 路 由 表 , 当 如 图 6. 8 所 示 的 互连网 中 
的 各 台 路 由 器 完成 每 一 个 接口 的 IP 地 址 、 子 网 掩 码 和 RIP 配置 后 , 即 可 生成 完整 路 由 
表 。 路 由 器 RI 生成 的 完整 路 由 表 如 图 6. 9(a) 所 示 , 由 直 连 路 由 项 和 RIP 生成 的 动态 路 
由 项 组 成 。 用 类 型 C 表示 直 连 路 由 项 ,用 类 型 R 表示 RIP 生成 的 动态 路 由 项 。 如 果 在 路 
由 器 RI 的 路 由 表 中 添加 一 项 目的 网 络 是 IP C/32, 下 一 跳 是 路 由 器 R2 的 静态 路 由 项 ,路 
由 器 RI 完整 路 由 表 如 图 6. 9(b) 所 示 , 用 类 型 S 表 示 静 态 路 由 项 。 当 路 由 器 RI 接收 到 
目的 他 地 址 是 IPC 的 IP 分 组 时 ,由 于 IPC 属 于 NET2, 因 此 ,该 分 组 分 别 与 目的 网 
络 是 NET2 和 目的 网 络 是 IP C/32 的 两 项 路 由 项 匹配 。 由 于 IP C/32 的 网 络 前 组 位 数 是 
32, 大 于 NET2 的 网 络 前 组 位 数 ,因此 ,根据 最 长 前 级 匹配 原则 ,最 终 用 于 转发 该 全 分 组 的 
路 由 项 是 目的 网 络 为 C/32 的 路 由 项 ,路 由 器 RI 将 该 全 分 组 传输 给 下 一 跳 路 由 器 R2。 














R1 路 由 表 二 

iea 类 型 目的 网 络 下 一 跳 RU 

类 型 目的 网 络 下 一 跳 距离 C NT 直接 0 

C NETI 直接 0 R NET R5 2 
R NET2 R5 2 S IPC/32 R2 
(a) R1 路 由 表 一 (b) R1 路 由 表 二 


图 6.9 路 由 器 Rl 路 由 表 


624 ”实验 步骤 


COD 由 于 如 图 6. 8 所 示 的 路 由 器 RI 需要 三 个 以 太 网 接口 ,默认 状态 下 , Cisco 2811 
只 有 两 个 以 太 网 接口 ,因此 ,需要 添加 一 个 以 太 网 接口 。 添 加 过 程 如 下 : 单 击 路 由 器 
Routerl ,在 弹出 的 配置 界面 中 选择 Physical( 物 理 ) 配 置 选 项 ,关闭 路 由 器 电源 ,在 左边 模 
块 栏 中 选中 模块 NM-IFE-TX, 然 后 将 其 拖 放 到 路 由 器 的 空 插 槽 中 ,全 部 过 程 如 图 6. 10 
所 示 。 模 块 NM-1FE-TX 提供 单个 100BASE-TX 接口 。 重 新 打开 路 由 器 电源 。 

(2) 根据 如 图 6. 8 所 示 互 连 网 结构 放置 和 连接 设备 ,完成 设备 放置 和 连接 后 的 逻辑 
工作 区 界面 如 图 6. 11 所 示 。 

(3) 完成 各 台 路 由 器 中 每 一 个 接口 的 IP. 地 址 . 子 网 掩 码 配 置 过 程 ,完成 各 台 路 由 器 
RIP 配置 过 程 。 各 台 路 由 器 生成 完整 路 由 表 。 路 由 器 Routerl 的 完整 路 由 表 如 图 6. 12 
所 示 。 通 往 网 络 192. 1. 5. 0/24 的 传输 路 径 上 的 下 一 跳 是 路 由 器 Router5(192. 1. 6. 253 
是 路 由 器 Router5 连接 路 由 器 Routerl 的 接口 的 IP 地 址 )。 
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图 6.11 完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 


Port Next Hop IP 
182.1.1.0/24 FastEthernet0/0 
192. 1.2. 0/24 FastEthernet0/1 
192. 1.3. 0/24 FastEthernet0/1 


192. 1. 4. 0/24 FastEthernet0/1 


192. 1.4. 0/24 FastEthernet1/0 

192. 1.5. 0/24 FastEthernet1/0 

192. 1.6. 0/24 FastEthernet1/0 

192. 1.7.0/24 FastEthernet1/0 
m 





6.12 路 由 器 Routerl 路 由 表 一 
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(4) 切换 到 模拟 操作 模式 ,查看 PC 发 送 给 PC2 的 ICMP 报 文 ,该 ICMP 报 文 经 过 
路 由 器 Router5 ,如 图 6. 13 所 示 。 
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图 6.13 PCO 至 PC2 ICMP 报 文 经 过 Routers 


(5) 切换 到 实时 操作 模式 ,在 路 由 器 Routerl 中 配置 一 项 静态 路 由 项 ,如 图 6. 14 所 
示 , 目 的 网 络 是 192. 1. 5.2/32, 下 一 跳 是 192. 1. 2. 253。 其 中 192. 1.5.2 是 PC2 的 IP 地 








Physical.| Config [cul 








Static Routes 








Network |192.1.5.2 











Mask [255.255.255.255 











Next Hop [192.1.2.253 

















Network Address 


192.1.5.2/32 via 192.1.2.253 



































Equivalent IOS Commands. 


SLINEPROTO-S-UPDOWN: Line protocol on Interface Fastftherneti/Ü, changed state to ^ 
up 









614 静态 路 由 项 配置 界面 
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址 ,前 级 长 度 等 于 32 的 子 网 掩 码 表示 目的 网 络 只 包含 单个 IP 地 址 。192. 1. 2. 253 是 路 
由 器 Router2 连接 路 由 器 Routerl 的 接口 的 IP 地 址 。 配 置 静态 路 由 项 后 的 路 由 器 
Routerl 的 路 由 表 如 图 6. 15 所 示 。 














Betwork Port 
192.1.1.0/24 FastEthernet0/0 
192. 1.2. 0/24 FastEthernet0/1 
192.1.3.0/24 FastEthernet0/1 
192. 1. 4.0/24 FastEthernet0/1 


192. 1. 4.0/24 FastEthernet1/0 
192. 1.5.0/24 FastEthernet1/0 
192. 1.5.2/32 -- 

192.1.6.0/24 FastEthernet1/0 
192. 1.7,0/24 FastEthernetl/O. 








图 6.15 路 由 器 Routerl 路 由 表 二 


(6) 切换 到 模拟 操作 模式 ,查看 PC0 发 送 给 PC2 的 ICMP 报 文 , 路 由 器 Routerl 将 
该 ICMP 报 文 转发 给 路 由 器 Router2, 如 图 6.16 所 示 。 查 看 PCO 发 送 给 PC1 的 ICMP 报 
文 , 路 由 器 Routerl 将 该 ICMP 报 文 转发 给 路 由 器 Router5 ,如 图 6.17 所 示 。 
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图 6.16 PCO 至 PC2 ICMP 报 文 经 过 Router2 


625 命令 行 接口 配置 过 程 


1. 路 由 器 Routerl 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Fie tdt 
Logi 


Options View Tools Extensons Heb 


[Root] New Cluster Move Object 


Set Tiled Background 
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图 6.17 PC0 Æ PCI ICMP 报 文 经 过 Routers 


Router»enable 

Router# configure terminal 

Router (config)finterface FastEthernet0/0 

Router (config-if)#no shutdown 

Router (config-if)fip address 192.1.1.254 255.255.255.0 
Router (config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)#no shutdown 

Router (config-if)fip address 192.1.2.254 255.255.255.0 
Router (config-if)fexit 

Router (config)finterface FastEthernetl/0 

Router (config-if)f$no shutdown 

Router (config-if)fip address 192.1.6.254 255.255.255.0 
Router (config-if)fexit 

Router (config)frouter rip 

Router (config-router)f$network 192.1.1.0 

Router (config-router)f$network 192.1.2.0 

Router (config-router)f$network 192.1.6.0 


Router (config-router)fexit 


Router (config)fip route 192.1.5.2 255.255.255.255 192.1.2.253 


2. 路 由 器 Router2 命令 行 接口 配置 过 程 
命令 序列 如 下 : 
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Router»enable 

Routerf configure terminal 

Router (config)finterface FastEthernet0/0 

Router (config-if)fno shutdown 

Router (config-if)fip address 192.1.2.253 255.255.255.0 
Router (config-if)#exit 

Router (config)finterface FastEthernet0/1 

Router (config-if)#no shutdown 

Router (config-if)fip address 192.1.3.254 255.255.255.0 
Router (config-if)fexit 

Router (config)frouter rip 

Router (config-router)fnetwork 192.1.2.0 

Router (config-router)fnetwork 192.1.3.0 


Router (config-router)fexit 


3. 路 由 器 Routers 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router»enable 

Router# configure terminal 

Router (config)finterface FastEthernet0/0 

Router (config-if)#no shutdown 

Router (config-if)fip address 192.1.6.253 255.255.255.0 
Router (config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)f$no shutdown 

Router (config-if)fip address 192.1.7.254 255.255.255.0 
Router (config-if)fexit 

Router (config)frouter rip 

Router (config-router)fnetwork 192.1.6.0 

Router (config-router)f$network 192.1.7.0 


Router (config-router)fexit 


6.3 流量 管制 实验 


6.3.1 实验 内 容 


邮件 已 经 成 为 病毒 传播 的 主要 渠道 ,感染 病毒 的 终端 通过 发 送 大 量 包含 病毒 的 邮件 
使 病毒 得 到 快速 传播 。 黑 客 通 过 向 Web 服务 器 发 送 大 量 报 文 ,导致 Web 服务 器 连接 网 
络 的 链 路 过 载 ,从 而 使 Web 服务 器 无 法 正常 提供 服务 。 

为 了 解决 上 述 问题 ,需要 限制 某 个 网 络 发 送 给 邮件 服务 器 和 Web 服务 器 的 流量 ,以 
此 阻止 病毒 扩散 过 程 和 对 Web 服务 器 实施 的 拒绝 服务 攻击 。 

对 于 如 图 6. 18 所 示 的 互连网 结构 ,分 别 在 路 由 器 R1 接口 2 和 路 由 器 R2 接口 1 配 
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置 流 量 管制 器 ,对 网 络 192. 1. 1. 0/24 和 网 络 192. 1. 3. 0/24 中 的 终端 发 送 给 邮件 服务 器 
和 Web 服务 器 的 流量 进行 管制 。 








































































LT 192.1.1.0/24 192.1.2.0/24 192.1.3.0/24 O 
= CES wm = 
" (BB B® a 
L1 L1 
im z 
终端 终端 

邮件 服务 器 。 Web 服务 器 

192.1.2.3 192.1.2.7 

图 6.18 互连网 结构 
6.3.2 实验 目的 


(1) 验证 流量 管制 器 的 配置 过 程 。 

(2) 验证 通过 流量 管制 阻止 病毒 快速 传播 的 过 程 。 
(3) 验证 通过 流量 管制 阻止 拒绝 服务 攻击 的 过 程 。 
(4) 验证 流量 管制 的 工作 原理 。 


6.3.3 实验 原理 


实施 流量 管制 的 前 提 有 两 个 : 一 是 分 类 信息 流 ,从 图 6. 18 中 的 路 由 器 RI 接口 2 和 
路 由 器 R2 接口 1 输出 的 信息 流 中 分 离 出 网 络 192. 1. 1. 0/24 和 网 络 192. 1. 3. 0/24 中 的 
终端 发 送 给 邮件 服务 器 和 Web 服务 器 的 流量 ;二 是 限定 这 些 流 量 的 平均 传输 速率 。 

通过 规则 从 IP. 分 组 流 中 鉴别 出 一 组 IP. 分 组 ,规则 由 一 组 属性 值 组 成 ,如 果 某 个 IP 
分 组 携带 的 信息 和 构成 规则 的 一 组 属性 值 匹配 ,意味 着 该 IP 分 组 和 该 规则 匹配 。 构 成 规 
则 的 属性 值 通常 由 下 述 字段 组 成 : 

(1) 源 IP 地 址 ,用 于 匹配 卫 分 组 王 首 部 中 的 源 IP 地 址 字段 值 。 

(2) 目的 了 P 地 址 ,用 于 匹配 IP 分 组 IP 首部 中 的 目的 IP 地 址 字段 值 。 

(3) 源 和 目的 端口 号 ,用 于 匹配 作为 IP 分 组 净 荷 的 传输 层 报 文 首部 中 源 和 目的 端口 
号 字段 值 。 

(4) 协议 类 型 ,用 于 匹配 IP 分 组 首部 中 的 协议 字段 值 。 

例如 分 离 出 网 络 192. 1. 1. 0/24 中 的 终端 发 送 给 邮件 服务 器 的 流量 的 规则 如 下 s 

(1) 协议 类 型 =TCP。 

(2) 源 IP 地 址 王 192.1.1.0/24。 

(3) 源 端口 号 : 任意 。 

(4) 目的 IP 地址 王 193. 1. 2. 3/32, 

(5) 目的 端口 号 =25。 
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限制 流量 平均 传输 速率 采用 如 图 6. 19 所 示 的 令 牌 桶 算法 。 如 果 授予 每 一 个 令 牌 P 
字 节 的 传输 能 力 , 且 令 牌 生成 器 生成 令 牌 的 速率 是 RAP USE fe EE PX 























8XR, 
令 牌 生成 器 
T 
令 牌 桶 
突 发 性 信息 流 分 组 队列 队列 调节 器 


6.19 令 牌 桶 算法 操作 过 程 


如 果 授 予 每 一 pti tne 可 以 通过 改变 令 牌 生成 器 生成 令 牌 的 速 
率 改变 平均 速率 。 假 定 授予 每 一 个 令 牌 已 字 节 的 传输 能 力 ,如 果 设 定 的 平均 传输 速率 是 
TEE R: 


634 关键 命令 说 明 


1. 分 类 信息 流 
以 下 命令 序列 用 于 分 离 出 网 络 192. 1. 1. 0/24 中 的 终端 发 送 给 邮件 服务 器 的 信息 流 。 


Router (config)#access-list 101 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.3 
eq smtp 

Router (config)faccess-list 101 deny ip any any 

Router (config)fclass-map email 

Router (config-cmap) match access-group 101 


Router (config-cmap)fexit 

access-list 101 permit tcp 192. 1. 1. 0 0. 0. 0. 255 host 192. 1. 2. 3 eq smtp 是 全 局 模 
式 下 使 用 的 命令 ,该 命令 的 作用 是 指定 用 于 分 离 出 网 络 192. 1. 1. 0/24 中 的 终端 发 送 给 邮 
件 服务 器 的 信息 流 的 规则 。101 是 规则 编号 ,所 有 属于 同一 规则 集 的 规则 有 着 相同 的 编 
号 。permit 是 规则 指定 的 动作 ,表示 与 该 规则 匹配 的 IP 分 组 是 分 离 出 的 信息 流 。tcp 是 
IP 分 组 首部 中 的 协议 类 型 ,表示 IP 分 组 净 荷 是 TCP 报 文 。192. 1.1.0 0.0. 0. 255 表示 
i IP 地址 属于 CIDR 地 址 块 192.1.1.0/24, 即 源 IP 地 址 属于 IP 地 址 范围 192. 1. 1.1~ 
192.1.1.254, host 192. 1. 2. 3 表示 目的 IP 地 址 是 唯一 的 IP 地 址 192. 1. 2. 3。host 
192.1.2.3 可 以 用 IP 地 址 192.1.2. 3 和 反 掩 码 0.0.0.0 表示 。eq 是 操作 符 , 表 示 等 于 。 
smtp 是 smtp 对 应 的 著名 端口 号 25 ,目的 IP 地 址 后 给 出 的 端口 号 是 目的 端口 号 ,因此 eq 
smtp 表示 目的 端口 号 等 于 25。 源 IP 地 址 后 没有 指定 端口 号 ,表示 源 端 口号 可 以 是 任意 
值 。 与 该 规则 匹配 的 IP 分 组 是 符合 以 下 条 件 的 IP 428: UR IP 地 址 属于 IP. 地址 范围 
192.1.1.1~192. 1. 1.254, 目 的 IP 地 址 等 于 192. 1.2.3,IP 分 组 首部 协议 字段 值 等 于 
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TCP, 且 净 荷 是 目的 端口 号 等 于 25 hy TCP 报 文 。 


access-list 101 deny ip any any 是 全 局 模式 下 使 用 的 命令 ,由 于 该 命令 与 前 一 条 命令 
有 着 相同 的 规则 编号 ,因此 与 前 一 条 命令 一 同 作 用 。 该 命令 的 作用 是 拒绝 所 有 TP 分组， 
any 表示 所 有 IP 地 址 ,因此 ,any 可 以 用 IP 地 址 0.0. 0.0 和 反 掩 码 255. 255. 255. 255 代 
替 。 两 条 有 着 相同 规则 编号 的 命令 一 同 作 用 的 结果 是 只 允许 分 离 出 符合 以 下 条 件 的 IP 
分 组 : 源 了 P 地 址 属于 TP 地 址 范围 192. 1. 1. 1192.1. 1.254. HI 卫 地 址 等 于 192.1.2.3， 
卫 分 组 首部 协议 字段 值 等 于 TCP, 且 净 荷 是 目的 端口 号 等 于 25 的 TCP 报 文 。 其 他 所 有 
IP 分 组 都 不 是 符合 分 离 条 件 的 TP 分 组 。 

class-map email 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 有 两 个 : 一 是 创建 一 个 名 
为 email 的 类 映射 ;二 是 进入 类 映射 配置 模式 。 类 映射 的 作用 是 指定 流量 类 别 。 

match access-group 101 是 类 映射 配置 模式 下 使 用 的 命令 ,(config-cmap) 并 是 类 映射 
配置 模式 下 的 命令 提示 符 。 该 命令 的 作用 是 为 类 映射 指定 匹配 标准 , 即 用 该 匹配 标准 分 
离 出 该 类 映射 对 应 的 信息 流 。101 是 规则 编号 ,表明 用 编号 为 101 的 一 组 规则 分 离 出 该 
类 映射 对 应 的 信息 流 。 

2. 定义 流量 管制 器 

以 下 命令 序列 用 于 定义 流量 管制 器 。 定 义 流量 管制 器 既 需要 通过 类 映射 指定 流量 类 
别 , 也 需要 为 该 类 流量 设置 平均 传输 速率 。 

命令 序列 如 下 : 





Router (config)fpolicy-map rl 

Router (config-pmap)fclass email 

Router (config-pmap-c)f shape average 16000 
Router (config-pmap-c)fset ip dscp 37 
Router (config-pmap-c)fexit 


Router (config-pmap)fexit 


policy-map rl 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 有 两 个 : 一 是 创建 一 个 名 为 
rl 的 策略 映射 ;二 是 进入 策略 映射 配置 模式 。 策 略 映射 实际 上 就 是 作用 于 路 由 器 接口 的 
流量 管制 器 。 

class email 是 策略 映射 配置 模式 下 使 用 的 命令 ,(config-pmap) +# 是 策略 映射 配置 模 
式 下 的 命令 提示 符 。 该 命令 的 作用 有 两 个 : 一 是 为 该 策略 映射 指定 流量 类 别 ,email 是 类 
映射 名 ,表示 用 名 为 email 的 类 映射 指定 流量 类 别 ; 二 是 进入 策略 映射 类 配置 模式 。 

shape average 16000 是 策略 映射 类 配置 模式 下 使 用 的 命令 , (config-pmap-c)# ER 
略 映射 类 配置 模式 下 的 命令 提示 符 。 该 命令 的 作用 是 为 该 类 流量 指定 平均 传输 速率 。 
16000 是 平均 传输 速率 ,单位 是 bps。 

set ip dscp 37 是 策略 映射 类 配置 模式 下 使 用 的 命令 。 该 命令 的 作用 是 将 属于 该 类 
信息 流 的 IP 分 组 首部 中 的 dscp 字段 设置 为 37(6 位 二 进 制 数 是 100101)。 

单个 策略 映射 可 以 为 多 种 不 同类 别 的 流量 指定 平均 传输 速率 ,因此 ,可 以 在 策略 映射 
中 用 不 同 的 类 映射 名 指定 每 一 类 流量 ,为 每 一 类 流量 指定 平均 传输 速率 。 
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3. 流量 管制 器 作用 于 路 由 器 接口 


以 下 命令 序列 用 于 将 名 为 rl 的 策略 映射 作用 到 路 由 器 接口 FastEthernet0/1 的 输出 
方向 。 

















Router (config)finterface FastEthernet0/1 
Router (config-if)fservice-policy output r1 
Router (config-if)fexit 








service-policy output rl 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 将 名 为 rl 
的 策略 映射 作用 到 指定 路 由 器 接口 (这 里 是 接口 FastEthernet0/1) 的 输出 方向 。 用 
output 表示 输出 方向 。 


635 实验 步骤 


CD 根据 如 图 6. 18 所 示 的 互连网 结构 放置 和 连接 设备 ,完成 设备 放置 和 连接 后 的 四 
辑 工作 区 界面 如 图 6. 20 所 示 。 
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图 6.20 完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 


(2) 完成 路 由 器 Routerl、Router2 各 个 接口 的 IP 地 址 和 子 网 掩 码 配 置 过 程 与 RIP 
配置 过 程 后 ,路 由 器 Routerl Router? 分 别 生 成 如 图 6.21 和 6. 22 所 示 的 路 由 表 。 





Network Port Next Hop IP 
192. 1. 1.0/24 FastEthernet0/0 


192. 1.2. 0/24 FastEthernet0/1 
192. 1. 3. 0/24 FastEthernet0/1 
" 











6.21 Routerl 路 由 表 


(3) 完成 各 个 终端 的 网 络 信息 配置 过 程 。 


Network Port 
192. 1. 1.0/24 FastEthernet0/0 


192. 1.2.0/24 FastEthernet0/0 
192. 1.3. 0/24 FastEthernet0/1 
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Next Hop IP 
12. 1.2.254 








图 6.22 Router2 路 由 表 


(4) 命令 行 接口 (CLD 配 置 方式 下 ,完成 路 由 器 


Routerl , Router2 流量 管制 器 配置 过 


程 ,将 网 络 192. 1. 1. 0/24 中 终端 发 送 给 Web 服务 器 的 流量 的 平均 传输 速率 限定 为 


16000bps。 切 换 到 模拟 操作 模式 ,协议 选项 选择 
TCP 和 HTTP, 如 图 6.23 所 示 。 当 PC0 通过 浏览 
器 访问 Web 服务 器 时 ,发 送 的 TCP 报 文 如 图 6. 24 
Bos ,属于 名 为 www 的 类 映射 指定 的 流量 类 别 。 
由 于 为 该 类 流量 限定 的 平均 传输 速率 较 小 ,路 由 器 
Routerl 接口 FastEthernet0/1 输出 方向 很 容易 因 
为 超出 流量 平均 传输 速率 而 丢弃 与 PC0 访问 Web 
服务 器 过 程 有 关 的 TCP 报 文 ,如 图 6.25 所 示 。 
(5) 将 网 络 192. 1. 1. 0/24 中 终端 发 送 给 Web 
服务 器 的 流量 的 平均 传输 速率 限定 为 2000000bps。 
PCO 可 以 成 功 访问 Web 服务 器 。 对 于 PCO 通过 浏 
览 器 访问 Web 服务 器 产生 的 TCP 报 文 , 路 由 器 
Routerl 接口 FastEthernet0/1 输出 前 的 IP 分 组 格 





式 如 图 6. 26 所 示 ,dscp 二 000000(dscp 字段 高 6 位 )。 


7K dscp— 100101 (dscp 字段 高 6 位 ) ,加 上 最 低 2 位 
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Edit ACL Filters 
图 6.23 模拟 操作 模式 下 选择 的 协议 


输出 后 的 IP 分 组 格式 如 图 6.27 所 
00 后 的 十 六 进 制 值 为 94(0x94) 。 
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6.24 PCO 访问 Web 服务 器 产生 的 TCP 报 文 


se» 
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PIU Information at D Re 





OSI Model [inbound PDU Details 








At Device: Router1 
Source: PCO 
Destination: 192.1.2.7 


In Layers 





Layer 3: IP Header Src. IP: 
192.1.1.1, Dest. IP: 192.1.2.7 
Layer 2: Ethernet II Header 
0060.3EA3.743E >> 
000A.F3DA.7101 

Layer 1: Port FastEthernet0/0 








Layer 3: IP Header Src. IP: 
192.1.1.1, Dest. IP: 192.1.2.7 
Layer 2: Ethernet II Header 
000A.F3DA.7102 >> 
0007.EC8A.1661 


Layer 1: Port(s): 








1. Packet exceeded shape limit and dropped. 


allenge Me 


6.25 


n at Device: Routerl 
OSI Model 


PDU Formats 


Inbound PDU Details 





nt 
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因为 超出 平均 传输 速率 而 丢弃 的 TCP 报 文 


| Outbound PDU Details. 








IP 
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31 Bits 





OPT 0x0 





SRC IP: 192.1.1.1 
DST IP: 192.1.2.7 


DATA (VARIABLE LENGTH) 


























图 6.26 输出 前 的 IP 分 组 首部 
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图 6.27 输出 后 的 卫 分 组 首部 
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636 命令 行 接口 配置 过 程 


1. 路 由 器 Routerl 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router»enable 

Router# configure terminal 

Router (config)finterface FastEthernet0/0 

Router (config-if)fno shutdown 

Router (config-if)fip address 192.1.1.254 255.255.255.0 
Router (config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)#no shutdown 

Router (config-if)fip address 192.1.2.254 255.255.255.0 
Router (config-if)fexit 

Router (config)frouter rip 

Router (config-router)fnetwork 192.1.1.0 

Router (config-router)fnetwork 192.1.2.0 

Router (config-router)fexit 

Router (config)faccess-list 101 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.3 
eq smtp 

Router (config)faccess-list 101 deny ip any any 

Router (config)faccess-list 102 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.7 
eq www 

Router (config)faccess-list 102 deny ip any any 

Router (config)fclass-map email 

Router (config-cmap) match access-group 101 

Router (config-cmap)fexit 

Router (config)fclass-map www 

Router (config-cmap) match access-group 102 

Router (config-cmap)fexit 

Router (config)#policy-map rl 

Router (config-pmap)#class email 

Router (config-pmap-c)#shape average 16000 

Router (config-pmap-c)#exit 

Router (config-pmap)#class www 

Router (config-pmap-c)#shape average 2000000 

Router (config-pmap-c)#set ip dscp 37 

Router (config-pmap-c)#exit 

Router (config-pmap)#exit 

Router (config)#interface FastEthernet0/1 

Router (config-if)#service-policy output rl 


Router (config-if)fexit 
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2. 路 由 器 Router2 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router>enable 

Router#configure terminal 

Router (config)#interface FastEthernet0/0 

Router (config-if)#no shutdown 

Router (config-if)fip address 192.1.2.253 255.255.255.0 
Router (config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)#no shutdown 

Router (config-if)fip address 192.1.3.254 255.255.255.0 
Router (config-if)fexit 

Router (config)frouter rip 

Router (config-router)fnetwork 192.1.2.0 

Router (config-router)fnetwork 192.1.3.0 

Router (config-router)fexit 
Router(config)faccess-list 101 permit tcp 192.1.3.0 0.0.0.255 host 192.1.2.3 
eq smtp 

Router (config)faccess-list 101 deny ip any any 

Router (config)faccess-list 102 permit tcp 192.1.3.0 0.0.0.255 host 192.1.2.7 
eq www 

Router (config)faccess-list 102 deny ip any any 

Router (config)fclass-map email 

Router (config-cmap) match access-group 101 

Router (config-cmap)fexit 

Router (config)fclass-map www 

Router (config-cmap) match access-group 102 

Router (config-cmap)fexit 

Router (config)fpolicy-map r2 

Router (config-pmap)fclass email 

Router (config-pmap-c)f shape average 16000 

Router (config-pmap-c)fexit 

Router (config-pmap)$class www 

Router (config-pmap-c)f shape average 2000000 

Router (config-pmap-c)fset ip dscp 37 

Router (config-pmap-c)fexit 

Router (config-pmap)fexit 

Router (config)finterface FastEthernet0/0 

Router (config-if)fservice-policy output r2 


Router (config-if)fexit 


3. 命令 列表 
路 由 器 命令 行 接口 配置 过 程 中 使 用 的 命令 及 功能 和 参数 说 明 如 表 6.2 所 示 。 


命令 格式 
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X62 命令 列表 
功能 和 参数 说 明 





class-map class-ma p-name 


一 是 创建 名 为 class-map-name 的 类 映射 ;二 是 进入 类 映射 配置 模式 





match access-group (accessgroup | 


name access-grou p-name } 


为 类 映射 指定 匹配 标准 , 即 用 该 匹配 标准 分 离 出 该 类 映射 对 应 的 
信息 流 。 参 数 accessgroup 用 于 指定 分 类 规则 编号 。 参 数 access 
group-name 用 于 指定 分 类 规则 名 





policy-map policy-ma p-name 


一 是 创建 名 为 policyma p-name 的 策略 映射 ;二 是 进入 策略 映射 
配置 模式 





class classname 


一 是 用 名 为 class-name 的 类 映射 指定 流量 类 别 ; 二 是 进入 策略 映 
射 类 配置 模式 





shape average mear-rate 


set ip dscp i/-dscp-value 


service-policy (input| output) 
policy-ma p-name 





指定 该 类 流量 的 平均 传输 速率 ,参数 mearrrate 是 平均 传输 速率 ， 
单位 为 bps 

将 属于 该 类 流量 的 IP 分 组 首部 中 的 dscp 字段 值 中 的 高 6 位 设置 
为 参数 pe dsc p- value 指定 的 值 

将 名 为 policy ma p-name 的 策略 映射 作用 到 接口 的 输出 或 输入 方 
向 。input 为 输入 方向 ,output 为 输出 方向 


注 : 粗 体 是 命令 关键 字 ,斜体 是 命令 参数 。 


6.4.1 实验 内 容 


6.4 PAT 实验 


内 部 网 络 连接 Internet 过 程 如 图 6. 28 所 示 , 其 中 192. 168. 1.0/24 和 192. 168. 2. 0/ 
24 是 私有 IP 地 址 ,对 Internet 是 透明 的 。193. 7.1.0/24 是 全 球 IP 地 址 ,Internet 中 的 路 
由 器 需要 建立 用 于 指明 通 往 网 络 193. 7. 1. 0/24 的 传输 路 径 的 路 由 项 。 连 接 在 网 络 192. 
168. 1.0/24 和 192. 168. 2. 0/24 中 的 终端 需要 通过 动态 PAT 实现 对 Internet 的 访问 过 
Fi. Internet 中 的 终端 需要 通过 静态 PAT 实现 对 内 部 网 络 中 Web 服务 器 1 和 Web 服务 





器 2 的 访问 过 程 。 
642 实验 目的 


CD 验证 过 滤 内 部 网 络 路 由 项 的 过 程 。 


(2) 理解 “内 部 网 络 对 于 Internet 是 透明 的 ”的 含义 。 
(3) 验证 动态 PAT 实现 过 程 。 

(4) 验证 静态 PAT 实现 过 程 。 

(5) 验证 动态 PAT 配置 过 程 。 

(6) 验证 静态 PAT 配置 过 程 。 

(7) 验证 PAT 的 安全 性 。 


643 实验 原理 
需要 在 路 由 器 RI 定义 连接 内 部 网 络 的 接口 和 连接 外 部 网 络 的 接口 ,连接 内 部 网 络 
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Web 服 务 器 1 
192.168.1.3 







































































R2 路 由 表 
目的 网 络 ”输出 接口 ”下 一 跳 
193.7.1.0/24 1 
192.1.1.0/24 1 
--192.1.1.254 
192.168.2.024 Q9 
4 1 2 
R2 
Web 服 务 器 2 R1 路 由 表 
192168827. 71937104 目的 网 络 — 输出 接口 FM E 
192.168.1.024 1 直接 Web 服 务 器 3 






192.168.2.0/24 2 直接 
193.7.1.0/24 3 HE 
192.1.1.0/24 4 直接 








图 6.28 内 部 网 络 连接 Internet 过 程 


的 接口 是 接口 1 和 接口 2。 连 接 外 部 网 络 的 接口 是 接口 4。 定 义 需要 转换 的 内 部 网 络 私 
有 了 IP 地址 范围 ,这 里 是 192. 168. 1.0/24 和 192. 168. 2.0/24。 

1. 连接 内 部 网 络 的 接口 至 连接 外 部 网 络 的 接口 的 地 址 转换 过 程 

当 路 由 器 R1 通过 连接 内 部 网 络 的 接口 接收 到 某 个 IP 分 组 ,根据 该 IP 分 组 的 目的 
IP 地 址 检索 路 由 表 。 如 果 确 定 该 IP 分 组 需要 通过 连接 外 部 网 络 的 接口 输出 , 且 TP 分 组 
的 源 IP 地 址 属于 需要 转换 的 内 部 网 络 私有 TP 地 址 范围 。 在 地 址 转换 表 检 索 内 部 私有 地 
址 等 于 该 IP 分 组 的 源 IP 地 址 ,内 部 本 地 标识 符 等 于 该 IP 分 组 的 内 部 本 地 标识 符 的 地 址 
转换 项 。 如 果 在 地 址 转换 表 中 找到 匹配 的 地 址 转换 项 ,用 该 地 址 转换 项 中 的 内 部 全 球 地 
址 取代 该 IP 分 组 的 源 TP 地 址 ,用 该 地 址 转换 项 中 的 内 部 全 球 标识 符 取代 该 IP 分 组 的 内 
部 本 地 标识 符 。 如 果 没有 在 地 址 转换 表 中 找到 匹配 的 地 址 转换 项 ,创建 一 项 地 址 转换 项 。 
用 该 TP 分 组 的 源 TP 地 址 作为 地 址 转换 项 中 的 内 部 私有 地 址 ,用 该 IP 分 组 的 内 部 本 地 标 
识 符 作 为 地 址 转换 项 中 的 内 部 本 地 标识 符 , 用 连接 外 部 网 络 的 接口 的 TP 地 址 作为 地 址 转 
换 项 中 的 内 部 全 球 地 址 ,分 配 一 个 唯一 的 内 部 全 球 标识 符 , 作 为 地 址 转换 项 中 的 内 部 全 球 
标识 符 。 然 后 ,用 该 地 址 转换 项 中 的 内 部 全 球 IP 地 址 取代 该 IP 分 组 的 源 TP 地 址 ,用 该 
地 址 转换 项 中 的 内 部 全 球 标识 符 取代 该 IP 分 组 的 内 部 本 地 标识 符 。 

如 果 人 P 分 组 的 净 荷 是 ICMP 报 文 , 则 该 IP 分 组 的 内 部 本 地 标识 符 是 ICMP 报 文中 
的 序号 。 如 果 IP 分 组 的 净 荷 是 TCP 或 UDP 报 文 , 则 该 人 P 分 组 的 内 部 本 地 标识 符 是 
TCP 或 UDP 报 文 中 的 源 端口 号 。 

在 动态 PAT 下 ,由 内 部 网 络 终端 发 送 的 与 访问 外 部 网 络 相关 的 第 一 个 IP 分 组 创建 
对 应 的 地 址 转换 项 。 因 此 ,在 动态 PAT 下 只 能 由 内 部 网 络 终端 发 起 访问 外 部 网 络 的 过 
程 。 在 动态 PAT 下 创建 的 地 址 转换 项 称 为 动态 地 址 转换 项 。 

在 静态 PAT 下 ,事先 配置 地 址 转换 项 ,因此 ,外 部 网 络 终端 可 以 通过 事先 配置 的 地 
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址 转换 项 访问 内 部 网 络 。 在 静态 PAT 下 事先 配置 的 地 址 转换 项 称 为 静态 地 址 转换 项 。 

2. 连接 外 部 网 络 的 接口 至 连接 内 部 网 络 的 接口 的 地 址 转换 过 程 

路 由 器 RI 通过 连接 外 部 网 络 的 接口 接收 到 TP 分 组 ,在 地 址 转换 表 检 索 内 部 全 球 地 
址 等 于 该 IP 分 组 的 目的 TP 地址、 内 部 全 球 标识 符 等 于 该 IP 分 组 的 内 部 全 球 标识 符 的 地 
址 转换 项 。 如 果 在 地 址 转换 表 中 找到 匹配 的 地 址 转换 项 ,用 该 地 址 转换 项 中 的 内 部 私有 
地 址 取代 该 IP 分 组 的 目的 TP 地 址 ,用 该 地 址 转换 项 中 的 内 部 本 地 标识 符 取代 该 IP 分 组 
的 内 部 全 球 标识 符 。 如 果 IP 分 组 的 净 荷 是 ICMP 报 文 , 则 该 了 分 组 的 内 部 全 球 标识 符 
是 ICMP 报 文中 的 序号 。 如 果 IP 分 组 的 净 荷 是 TCP 或 UDP 报 文 , 则 该 IP 分 组 的 内 部 
全 球 标 识 符 是 TCP 或 UDP 报 文中 的 目的 端口 号 。 

3. 地 址 转换 实例 

当 终 端 B 向 终端 DD 发 送 ICMP 报 文 时 ,路 由 器 R1 通过 接口 2 接收 到 封装 该 ICMP 
报 文 的 IP 分 组 , 且 确 定 通过 接口 4 输出 该 IP 分 组 。 由 于 接口 2 是 连接 内 部 网 络 的 接口 ， 
接口 4 是 连接 外 部 网 络 的 接口 , 且 终 端 B 的 IP 地 址 192.168.2.1 属于 CIDR 地 址 块 192. 
168. 2.0/24, 因 此 ,在 地 址 转换 表 中 检索 内 部 私有 地 址 等 于 该 IP 分 组 的 源 IP 地 址 192. 
168. 2.1、 内 部 本 地 标识 符 等 于 ICMP 报 文中 的 序号 2 的 地 址 转换 项 。 如 果 没 有 找到 匹配 
的 地 址 转换 项 , 则 创建 一 项 地 址 转换 项 ,如 表 6. 3 中 灰色 底 纹 的 地 址 转换 项 。 用 该 了 分 
组 的 源 IP 地 址 192. 168. 2. 1 作为 地 址 转换 项 中 的 内 部 私有 地 址 ,用 ICMP 报 文中 的 序号 
2 作为 地 址 转换 项 中 的 内 部 本 地 标识 符 , 用 路 由 器 R1 接口 4 的 IP 地 址 192.1.1.254 作 
为 地 址 转换 项 中 的 内 部 全 球 地 址 。 由 于 地 址 转换 表 中 已 经 存在 作为 内 部 全 球 标识 符 的 序 
号 2, 因此 ,分 配 一 个 唯一 的 序号 1024 作为 内 部 全 球 标识 符 。 然 后 ,用 该 地 址 转换 项 中 的 
内 部 全 球 IP 地址 192. 1.1. 254 取代 该 IP 分 组 的 源 IP 地址 192. 168. 2.1, 用 该 地 址 转换 
项 中 的 内 部 全 球 标识 符 1024 取代 ICMP 报 文中 的 序号 2。 地 址 转换 过 程 如 图 6. 29 
所 示 。 






































ICMP 报 — HIP 源 IP ICMP 报 ”目的 IP 源 [P 
文 序号 — Hut 地 址 à 文 序号 地 址 地 址 @ 
SN2 | 192124 | 19268211 | 一 一 SN-1024 | 192.1211 | 192.1.1254 | 一 一 
RI 
9 4 
iP HIP ICMP 报 iP 目的 了 ICMp 报 
地 址 地 址 文 序号 地 址 地 址 文 序号 
-一 | 19424 | 192.168.2.1 | SN-2 «L wan [10211254 | sewn 
































图 6.29 动态 PAT 工 作 过 程 


当 终端 D 向 终端 B 回 送 ICMP 报 文 时 ,路 由 器 R1 通过 接口 4 接收 到 封装 该 ICMP 
报 文 的 IP 分 组 ,由 于 接口 4 是 连接 外 部 网 络 的 接口 ,因此 ,路 由 器 R1 在 地 址 转换 表 中 检 
索 内 部 全 球 地 址 等 于 该 TP 分 组 的 目的 IP 地 址 192.1.1. 254 内 部 全 球 标识 符 等 于 ICMP 
报 文中 的 序号 1024 的 地 址 转换 项 。 找 到 匹配 的 地 址 转换 项 后 ,用 该 地 址 转换 项 中 的 内 部 
私有 地 址 192. 168. 2. 1 取代 该 IP 分 组 的 目的 IP 地 址 192. 1. 1.254, 用 该 地 址 转换 项 中 的 
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内 部 本 地 标识 符 2 取代 ICMP 报 文 中 的 序号 1024。 地 址 转换 过 程 如 图 6. 29 所 示 。 














表 6.3 ”地址 转换 胡 
协议 内 部 私有 地 址 内 部 本 地 标识 符 内 部 全 球 地 址 内 部 全 球 标识 符 
ICMP 192.168.1.1 2( 序 号 ) 192. 1. 1. 254 2( 序 号 ) 
ICMP 192.168. 2.1 2( 序 号 ) 192. 1. 1. 254 1024( 序 号 ) 
TCP 192.168. 1.3 80( 端 口号 ) 192. 1. 1. 254 80( 端 口号 ) 
TCP 192. 168. 2.7 80( 端 口号 ) 192. 1. 1. 254 8080( 端 口号 ) 














6.4.4 关键 命令 说 明 


l. 指定 需要 转换 的 内 部 网 络 私有 IP 地 址 范围 
以 下 命令 序列 将 需要 转换 的 内 部 网 络 私 有 TP 地 址 范围 指定 为 192. 168. 1. 0/24 和 
192. 168. 2. 0/24, 


Router (config)#access-list 1 permit 192.168.1.0 0.0.0.255 

Router (config)#access-list 1 permit 192.168.2.0 0.0.0.255 

Router (config)#access-list 1 deny any 

access-list 1 permit 192. 168. 1. 0 0.0. 0. 255 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作 
用 是 指定 IP 地 址 范围 192. 168. 1. 0/24, 其 中 192. 168. 1.0 是 CIDR 地 址 块 192. 168. 1. 
0/24 的 起 始 IP 地 址 ,0. 0. 0. 255 是 表示 24 位 网 络 前 组 的 子 网 掩 码 255. 255. 255. 0 的 反 
码 。1 是 规则 编号 ,相同 编号 的 一 组 规则 一 起 作用 。permit 表示 指定 IP 地址 范围 。 

access-list 1 deny any 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 否定 IP 地 址 范围 ， 
deny 表示 否定 ,any 表示 所 有 IP 地 址 。 

上 述 三 条 有 着 相同 编号 的 规则 一 起 作用 ,指定 TP 地 址 范围 仅仅 是 192. 168. 1. 0/24 
和 192. 168. 2. 0/24。 

2. 配置 动态 PAT 

以 下 命令 序列 用 于 指定 动态 PAT 规则 。 





Router (config)#ip nat inside source list 1 interface FastEthernetl/l overload 


ip nat inside source list 1 interface FastEthernet1/1 overload 是 全 局 模式 下 使 用 的 
命令 ,该 命令 的 作用 是 指定 动态 PAT 规则 : 如 果 通 过 连接 内 部 网 络 的 接口 接收 到 某 个 TP 
分 组 , 且 该 IP 分 组 通过 连接 外 部 网 络 的 接口 输出 ,同时 该 TP. 分 组 的 源 IP 地 址 属于 编号 
为 1 的 规则 集 指 定 的 需要 转换 的 内 部 网 络 私 有 IP 地 址 范围 。 对 该 IP 分 组 实施 连接 内 部 
网 络 的 接口 至 连接 外 部 网 络 的 接口 的 地 址 转换 过 程 。 内 部 全 球 地 址 是 接口 
FastEthernetl /1 的 IP Jb. z354 PAT 要 求 由 内 部 网 络 中 的 终端 发 起 访问 外 部 网 络 的 
过 程 , 即 地 址 转换 项 由 内 部 网 络 终端 发 送 的 与 本 次 访问 外 部 网 络 过 程 相关 的 第 一 个 IP 分 
组 创建 。 

3. 配置 静态 PAT 

以 下 命令 序列 用 于 配置 静态 地 址 转换 项 。 
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Router (config)fip nat inside source static tcp 192.168.1.3 80 192.1.1.254 80 
Router (config)fip nat inside source static tcp 192.168.2.7 80 192.1.1.254 8080 








ip nat inside source static tcp 192. 168. 1. 3 80 192. 1. 1. 254 80 是 全 局 模式 下 使 用 的 
命令 ,该 命令 的 作用 是 在 地 址 转换 表 中 事先 创建 一 项 地 址 转换 项 (静态 地 址 转换 项 ) ,该 项 
地 址 转换 项 中 的 各 个 字段 值 如 下 : 协议 二 TCP、 内 部 私有 地 址 二 192. 168. 1. 3 内 部 本 地 
标识 符 二 80、 内 部 全 球 地 址 二 192. 1. 1. 254、 内 部 全 球 标识 符 二 80。 

ip nat inside source static tcp 192. 168. 2. 7 80 192. 1. 1. 254 8080 是 全 局 模式 下 使 用 
的 命令 ,该 命令 的 作用 是 在 地 址 转换 表 中 事先 创建 一 项 地 址 转换 项 (静态 地 址 转换 项 ) ,该 
项 地 址 转换 项 中 的 各 个 字段 值 如 下 : 协议 二 TCP、 内 部 私有 地 址 二 192. 168. 2.7、 内 部 本 
地 标识 符 = 二 80、 内 部 全 球 地 址 二 192. 1. 1. 254、 内 部 全 球 标识 符 二 8080。 

值得 指出 的 是 , 当 路 由 器 通过 连接 外 部 网 络 的 接口 接收 到 TP. 分 组 时 ,路 由 器 在 地 址 
转换 表 中 检索 内 部 全 球 地 址 等 于 该 IP 分 组 的 目的 IP 地 址 .内 部 全 球 标识 符 等 于 该 卫 分 
组 的 内 部 全 球 标识 符 的 地 址 转换 项 。 由 于 这 些 需要 进行 连接 外 部 网 络 的 接口 至 连接 内 部 
网 络 的 接口 地 址 转换 过 程 的 IP 分 组 有 着 相同 的 目的 IP 地 址 , 即 路 由 器 连接 外 部 网 络 的 
接口 的 IP 地 址 ,因此 ,对 于 这 些 IP 分 组 ,确定 地 址 转换 项 的 唯一 依据 是 内 部 全 球 标识 符 ， 
所 以 在 相同 协议 下 ,多 项 不 同 的 静态 地 址 转换 项 必须 有 不 同 的 内 部 全 球 标识 符 , 故 上 述 命 
令 序列 配置 的 两 项 静态 地 址 转换 项 不 能 有 相同 的 内 部 全 球 标识 符 , 一 项 取 值 80, 另 一 项 
取 值 8080。 

4. 指定 连接 内 部 网 络 和 连接 外 部 网 络 的 接口 

以 下 命令 序列 用 于 将 接口 FastEthernet0/0 指定 为 连接 内 部 网 络 的 接口 ,将 接口 
FastEthernetl /1 指定 为 连接 外 部 网 络 的 接口 。 























Router (config)#interface FastEthernet0/0 
Router (config-if)#ip nat inside 

Router (config-if)#exit 

Router (config)#interface FastEthernet1/1 
Router (config-if)#ip nat outside 


Router (config-if)#exit 

ip nat inside 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 将 某 个 接口 (这 里 是 
FastEthernet0/0) 指 定 为 连接 内 部 网 络 的 接口 。 

ip nat outside 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 将 某 个 接口 (这 里 是 
FastEthernetl/1) 指 定 为 连接 外 部 网 络 的 接口 。 


6.4.5 实验 步骤 


(1) 根据 如 图 6. 28 所 示 的 内 部 网 络 与 Internet 的 互 连 结构 放置 和 连接 设备 ,完成 设 
备 放置 和 连接 后 的 逻辑 工作 区 界面 如 图 6. 30 所 示 。 

(2) 完成 路 由 器 Routerl Router? 各 个 接口 的 IP 地址 和 子 网 掩 码 配 置 过 程 。 完 成 
路 由 器 Routerl、Router2 的 RIP 配置 过 程 。 需 要 指出 的 是 ,在 完成 路 由 器 Routerl 的 RIP 
配置 过 程 时 ,直接 连接 的 网 络 中 不 包括 内 部 网 络 192. 168. 1. 0/24 和 192. 168. 2.0/24。 完 成 
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图 6.30 放置 和 连接 设备 后 的 逻辑 工作 区 界面 


上 述 配 置 过 程 后 ,路 由 器 Routerl , Router2 分 别 生成 如 图 6.31 和 6. 32 所 示 的 路 由 表 。 对 于 
路 由 器 Router2 ,内 部 网 络 192. 168.1.0/24 和 192. 168. 2.0/24 是 不 可 见 的 。 


Network Port Next Hop IP 
192. 1. 1.0/24 FastEthernetl/1 — 
192.1.2.0/24 FastEthernetl/1 192.1.1.253 
192. 168. 1.0/24 FastEthernet0/0 
192. 168. 2. 0/24 FastEthernet0/1 
193.7. 1.0/24 FastEthernet1/0 
[7 








图 6.31 路 由 器 Routerl 路 由 表 


Network Port Next Hop IP 
192. 1. 1.0/24 FastEthernet0/0 


192. 1.2. 0/24 FastEthernet0/1 


193.7. 1.0/24 FastEthernet0/0 
m. 











图 6.32 路 由 器 Router2 路 由 表 


(3) 完成 各 个 终端 和 服务 器 的 网 络 信息 配置 过 程 。 

(4) CLI( 命 令 行 接口 ) 配 置 方式 下 ,完成 路 由 器 Routerl 动态 PAT 和 静态 PAT 配置 
过 程 。 启 动 PCO 和 PCI 与 PC3 之 间 的 ICMP 报 文 传输 过 程 。 启 动 PC0 和 PCI 通过 浏览 
器 访问 Web Server3 的 过 程 。 完 成 上 述 传输 过 程 后 ,路 由 器 Routerl 的 网 络 地 址 转换 表 
(NAT Table) 如 图 6. 33 所 示 。Inside Local 列 中 给 出 表 6. 3 中 的 内 部 私有 地 址 和 内 部 本 
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地 标识 符 ,如 192. 168. 1.1:2, 其 中 192. 168. 1. 1 是 内 部 私有 地 址 ,2 是 内 部 本 地 标识 符 
(ICMP 报 文中 的 序号 ) Inside Global 列 中 给 出 表 6. 3 中 的 内 部 全 球 地 址 和 内 部 全 球 标 
识 符 , 如 192.1.1.254:2, 其 中 192.1.1.254 是 内 部 全 球 地 址 ,2 是 内 部 全 球 标识 符 。 


Inside Global 


192.1.1.2542 

182.1.1.254:3 

192.1.1.25€4 

192.1.1.25€5 

192.1.1.254:1024 
192. 1. 1. 254:1025 
192. 1. 1.254:1026 
192. 1. 1. 254:80 
192. 1. 1254:80 
192. 1. 1. 254:80 
192. 1. 1.254:1024 
192. 1. 1.254:8080 
192. 1. 1. 254:8080 
192. 1. 1. 254:8080 
192. 1. 1. 254:8080 


Inside Local Outside Local Outside Global 
192.168.1.1 2 19.12.12 192.1.2.1:2 
192.168.1.1:3 182.1.2.:3 182.1.2.1:3 
182.168.1.1.4 182.1.2.1:4 182.1.2.1:4 
192. 168.1.1:5 182.1.2.1:5 182.1.2.1:5 
192.168.2.1.:2 192.1.2.1:2 192. 1.2. 1:1024 
192. 168. 1. 1:1025 192. 1.2.3:80 182.1.2.3:80 
192. 168. 1. 1-1026 192. 1.2.3:80 192. 1.2. 3:80 
192. 168. 1. 3:80 E C 
192. 168, 1.3:80 192. 1.2. 1:1025 192. 1.2. 1:1025 
192 168. 1. 3:80 192. 1.2.1:1027 192. 1.2. 1:1027 
192. 168. 2. 1:1025 192. 1.2.3:80 192. 1.2. 3:80 
192. 168.2. 7:80 E [.— 

192. 168. 2. 1.80 192. 1.2. 1:1026 192. 1.2. 1:1026 
192. 168.2. 7:80 192. 1.2. 1:1028 192. 1.2. 1:1028 
192. 168. 2. 7:80 192. 1.2. 1:1029 192. 1.2. 1:1029 
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33 路由器 Routeri 地 址 转换 表 


(5) 由 于 配置 了 静态 地 址 转换 项 ,允许 PC3 通过 Routerl 连接 外 部 网 络 的 接口 的 TP 
地 址 192.1.1. 254 访问 内 部 网 络 中 的 Web Serverl 和 Web Server 2。 配 置 静态 地 址 转换 
项 时 ,用 内 部 全 球 标识 符 80 唯一 标识 Web Serverl ,用 内 部 全 球 标 识 符 8080 唯一 标识 
Web Server2。 因 此 , 当 在 PC3 浏览 器 地 址 栏 中 输入 192. 1. 1. 254 时 (80 端口 号 是 默认 端 


口号 ) ,PC3 访问 到 Web Serverl 


,如 图 6.34 所 示 。 当 在 PC3 浏览 器 地 址 栏 中 输入 192. 


1. 1. 254,8080 时 ,PC3 访问 到 Web Server2, 如 图 6. 35 所 示 。 
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.34 PC2 访问 Web Serverl 界面 
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6.35 PC3 访问 Web Server2 界面 


(6) 切换 到 模拟 操作 模式 ,启动 PC0 至 PC3 ICMP 报 文 传输 过 程 ,PC0 至 Routerl 传 
输 的 用 于 封装 ICMP 报 文 的 IP 分 组 格式 如 图 6. 36 所 示 , 源 IP 地 址 是 PCO 的 私有 IP 地 
hE 192. 168. 1. 1, Routerl 至 PC3 传输 的 用 于 封装 ICMP 报 文 的 IP 分 组 格式 如 图 6. 37 
所 示 , 源 IP 地 址 是 Routerl 连接 外 部 网 络 的 接口 的 全 球 IP 地 址 192. 1. 1. 254. 











16 19 31 Bits 
HL | psce:oxo TL: 28 
ID: 0x10 f oxo | 0x0 
TL: 255 CHKSUM 
SRC IP: 192.168.1.1 
DSTIP: 192.1.2.1 
OPT: 0x0 
DATA (VARIABLE LENGTH) 











ICMP 
0 


e 16 31 Bits 


TYPE: 0x8 | CODE: 0x0 CHECKSUM 
1D: 0x6 SEQ NUMBER: 5 


«| m 






































图 6.36 PCO 至 Routerl 传输 的 IP 分 组 


C) 启动 PC3 通过 浏览 器 访问 Web Server2 的 过 程 ,PC3 至 Routerl 传输 的 用 于 封 
装 TCP 报 文 的 IP 分 组 格式 如 图 6. 38 所 示 ,目的 IP 地 址 是 Routerl 连接 外 部 网 络 的 接 
口 的 全 球 IP 地 址 192. 1. 1. 254. TCP 报 文 的 目的 端口 号 是 8080( 内 部 全 球 标识 符 ) 。 
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图 6.37 Routerl 至 PC3 传输 的 IP 分 组 


Routerl 至 Web Server2 传输 的 用 于 封装 TCP 报 文 的 IP 分 组 格式 如 图 6. 39 所 示 , 目 的 


IP 地 址 是 Web Server2 的 私有 IP 地 址 192. 168.2. 7. TCP 报 文 的 目的 


本 地 标识 符 ) 。 


PDU Formats 


Outbound PDU Details | 


m 


端口 号 是 80( 内 部 





IP 
0 


31 Bits 





4 


TIL: 127 


IHL DSCP: 0x0 
ID: Oxle 


PRO: 0x6 


SRC IP: 192.1.2.1 
DST IP: 192.1.1.254 
OPT: 0x0 
DATA (VARIABLE LENGTH) 


TL: 44 
0x0 
CHKSUM 
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16 
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SRC PORT: 1029 DEST PORT: 8080 
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图 6.38 PC3 至 Routerl 传输 的 IP 分 组 


6.4.6 


命令 行 接口 配置 过 程 


1. 路 由 器 Routerl 命令 行 接口 配置 过 程 


命令 序列 如 下 : 


Router>enable 


Router#configure terminal 


X 
N 


AO 风色 安全 实验 教 和 
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[.OSLModel.| Inbound PDU Details 
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SRC IP: 192.1.2.1 
DST IP: 192.168.2.7 
OPT: 0x0 
DATA (VARIABLE LENGTH) 








Iœ 


0 16 31 Bits 


SRC PORT: 1029 DEST PORT: 80 
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E 6.39 Routeri 至 Web Server2 传输 的 IP 分 组 


Router (config)finterface FastEthernet0/0 

Router (config-if)#no shutdown 

Router (config-if)fip address 192.168.1.254 255.255.255.0 
Router(config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)#no shutdown 

Router (config-if)fip address 192.168.2.254 255.255.255.0 
Router(config-if)fexit 

Router (config)finterface FastEthernetl/0 

Router (config-if)#no shutdown 

Router (config-if)fip address 193.7.1.254 255.255.255.0 

Router (config-if)fexit 

Router (config)finterface FastEthernetl/l 

Router (config-if)f$no shutdown 

Router (config-if)fip address 192.1.1.254 255.255.255.0 

Router (config-if)fexit 

Router (config)faccess-list 1 permit 192.168.1.0 0.0.0.255 

Router (config)faccess-list 1 permit 192.168.2.0 0.0.0.255 

Router (config)faccess-list 1 deny any 

Router (config)fip nat inside source list 1 interface FastEthernetl/1l overload 
Router (config)fip nat inside source static tcp 192.168.1.3 80 192.1.1.254 80 
Router (config)fip nat inside source static tcp 192.168.2.7 80 192.1.1.254 8080 
Router (config)finterface FastEthernet0/0 

Router (config-if)fip nat inside 

Router (config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)fip nat inside 


Router (config-if)fexit 
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Router (config)finterface FastEthernetl/1l 
Router (config-if)fip nat outside 

Router (config-if)fexit 

Router (config)frouter rip 

Router (config-router)f$network 192.1.1.0 
Router (config-router)fnetwork 193.7.1.0 


Router (config-router)fexit 


2. 路 由 器 Router2 命令 行 接口 配置 过 程 
命令 序列 如 下 


Router»enable 

Router# configure terminal 

Router (config)#interface FastEthernet0/0 

Router (config-if)#no shutdown 

Router (config-if)#ip address 192.1.1.253 255.255.255.0 
Router (config-if)#exit 

Router (config)#interface FastEthernet0/1 

Router (config-if)#no shutdown 

Router (config-if)#ip address 192.1.2.254 255.255.255.0 
Router(config-if)fexit 

Router (config)frouter rip 

Router (config-router)fnetwork 192.1.1.0 

Router (config-router)$network 192.1.2.0 


Router (config-router)fexit 





3. 命令 列表 
路 由 器 命令 行 接口 配置 过 程 中 使 用 的 命令 及 功能 和 参数 说 明 如 表 6.4 所 示 。 
表 6.4 命令 列表 
命令 格式 功能 和 参数 说 明 
指定 允许 进行 地 址 转换 的 私有 地 址 范围 ,参数 access list-number 
access-list access-List-number 是 规则 集 编号 , 取 值 范围 为 1 一 99 ,参数 source 和 source-wildcard 


permit source [ sourcexwildcard ] | 用 于 指定 CIDR 地 址 块 ,参数 source-wildcard 使 用 子 网 掩 码 反 码 
的 形式 。 相 同 规则 集 编号 的 一 组 规则 一 起 作用 





否定 了 地址 范围 。 参 数 accessList-number 是 规则 集 编 号 , 取 值 范 
access-list access-List-number deny | 围 为 1 一 99, 参 数 source fI source-wildcard 用 于 指定 CIDR 地 址 
source [source wildcard] 块 ,参数 sourcewildcard 使 用 子 网 掩 码 反 码 的 形式 。 相 同 规则 集 
编号 的 一 组 规则 一 起 作用 





将 允许 进行 地 址 转换 的 私有 地 址 范围 与 某 个 全 球 IP 地 址 绑 定 在 
一 起 。 参 数 accesslist-nuwmber 是 用 于 指定 允许 进行 地 址 转换 的 私 
有 地 址 范围 的 规则 集 编号 ,参数 type number. 用 于 指定 路 由 器 接 
口 ,该 接口 的 下 地 址 作为 用 于 实现 地 址 转换 的 全 球 IP 地 址 


ip nat inside source list access-list- 
number interface ty pe number 
overload 
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命令 格式 功能 和 参数 说 明 


创建 静态 地 址 转换 项 ,参数 locaLip 和 local-port 用 于 指定 内 部 私 
有 地 址 和 内 部 本 地 标识 符 ,这 里 用 端口 号 作为 内 部 本 地 标识 符 。 
参数 globali p 和 global-port 用 于 指定 内 部 全 球 地 址 和 内 部 全 球 


续 表 





ip nat inside source static tep 
locaLip local-port global-ip 











pee 标识 符 ,同样 ,这 里 用 端口 号 作为 内 部 全 球 标识 符 
ip nat inside 指定 连接 内 部 网 络 的 路 由 器 接口 
ip nat outside 指定 连接 外 部 网 络 ( 也 称 公共 网 络 ) 的 路 由 器 接口 


ik. 粗 体 是 命令 关键 字 ,斜体 是 命令 参数 。 
6.5 NAT 实验 


651 实验 内 容 


内 部 网 络 与 外 部 网 络 互 连 过 程 如 图 6. 40 所 示 , 内 部 网 络 1 和 内 部 网 络 2 分 配 相同 的 
私有 IP 地 址 192. 168. 1. 0/24。 通 过 动态 NAT 实现 内 部 网 络 中 的 终端 访问 外 部 网 络 的 
过 程 ,通过 静态 NAT 实现 外 部 网 络 中 的 终端 和 其 他 内 部 网 络 中 的 终端 访问 某 个 内 部 网 
络 中 的 Web 服务 器 的 过 程 。 不 同 内 部 网 络 中 的 终端 之 间 不 能 通信 ,外 部 网 络 中 的 终端 不 
能 发 起 与 内 部 网 络 中 的 终端 之 间 的 通信 过 程 。 


6.5.2 实验 目的 


COD 理解 “内 部 网 络 对 于 外 部 网 络 是 透明 的 ”的 含义 。 
(2) 验证 动态 NAT 实现 过 程 。 

(3) 验证 静态 NAT 实现 过 程 。 

(4) 验证 动态 NAT 配置 过 程 。 

(5) 验证 静态 NAT 配置 过 程 。 

(6) 验证 NAT 的 安全 性 。 


6.5.3 实验 原理 


对 于 外 部 网 络 和 内 部 网 络 2 中 的 终端 ,内 部 网 络 1 中 的 终端 和 Web 服务 器 被 动态 
NAT 和 静态 NAT 映射 到 全 球 IP 地 址 块 192. 1. 3. 0/28 ,因此 ,路 由 器 R2 和 R3 中 需要 
创建 项 目的 网 络 为 192. 1. 3. 0/28, 下 一 跳 是 路 由 器 R1 连接 外 部 网 络 的 接口 的 TP 地址 
192. 1.1.254 的 静态 路 由 项 ,如 图 6. 40 中 的 路 由 器 R3 路 由 表 。 同 样 ,对 于 外 部 网 络 和 内 
部 网 络 1 中 的 终端 ,内 部 网 络 2 中 的 终端 和 Web 服务 器 被 动态 NAT 和 静态 NAT 映射 
到 全 球 IP 地 址 块 192. 1. 3. 16/28, 因 此 ,路 由 器 R1 和 R3 中 需要 创建 项 目的 网 络 为 
192.1.3.16/28, 下 一 跳 是 路 由 器 R2 连接 外 部 网 络 的 接口 的 IP 地 址 192. 1. 1. 253 的 静 
态 路 由 项 ,如 图 6. 40 中 的 路 由 器 R3 路 由 表 。 

在 动态 NAT 下 ,内 部 网 络 中 的 终端 发 起 访问 外 部 网 络 或 其 他 内 部 网 络 中 的 Web 服 
务 器 时 ,动态 创建 一 项 用 于 建立 内 部 网 络 私 有 TP 地 址 与 全 球 IP 地 址 之 间 映 射 的 地 址 转 
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换 项 。 在 静态 NAT 下 ,通过 配置 事先 创建 用 于 建立 内 部 网 络 私有 IP 地 址 与 全 球 IP 地 
址 之 间 映 射 的 地 址 转换 项 。 只 有 事先 创建 用 于 建立 内 部 网 络 1 中 Web 服务 器 1 的 私有 
JP 地址 192. 168.1.3 与 全 球 全 地 址 192.1.3.13 之 间 映 射 的 地 址 转换 项 后 ,外 部 网 络 中 
的 终端 和 内 部 网 络 2 中 的 终端 才 可 以 通过 全 球 IP 地 址 192. 1. 3. 13 访问 内 部 网 络 1 中 的 
Web 服务 器 1. 


6.5.4 关键 命令 说 明 
1. 配置 动态 NAT 


以 下 命令 序列 用 于 建立 私有 IP 地 址 192. 168. 1.0/24 与 全 球 IP 地 址 池 192. 1. 3.1~ 


192. 1.3. 12 之 间 的 映射 。 


[So 


Router (config)#access-list 1 permit 192.168.1.0 0.0.0.255 
Router (config)faccess-list 1 deny any 
Router (config)fip nat pool al 192.1.3.1 192.1.3.12 netmask 255.255.255.240 


Router (config)fip nat inside source list 1 pool al 


access-list 1 permit 192. 168. 1. 0 0. 0. 0. 255 和 access-list 1 deny any 一 起 作用 ,将 
允许 进行 NAT 操作 的 私有 IP 地 址 范围 指定 为 192. 168. 1. 0/24, 

ip nat pool al 192. 1. 3. 1 192.1.3.12 netmask 255. 255. 255. 240 是 全 局 模式 下 使 用 
的 命令 ,该 命令 的 作用 是 定义 全 球 IP 地 址 池 ,al 是 全 球 IP 地 址 池 名 。 全 球 IP 地 址 池 是 
由 起 始 地 址 和 结束 地 址 指定 的 一 组 连续 TP 地 址 。192. 1. 3. 1 是 该 组 连续 IP 地 址 的 起 始 
地 址 ,192. 1. 3. 12 是 该 组 连续 IP 地 址 的 结束 地 址 。255. 255. 255. 240 是 该 组 连续 IP 地 
HEKI F RET 

ip nat inside source list 1 pool al 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 将 编号 
为 1 的 规则 集 指定 的 私有 TP 地 址 范围 与 名 为 al 的 全 球 IP 地 址 池 绑 定 在 一 起 。 

执行 上 述 命令 后 ,如 果 路 由 器 通过 连接 内 部 网 络 的 接口 接收 到 某 个 IP 分 组 , 且 该 了 
分 组 满足 下 述 条 件 : 

CD IP 分 组 源 IP 地址 属于 CIDR 地 址 块 192. 168. 1.0/24。 

(2) 确定 IP 分 组 通过 连接 外 部 网 络 的 接口 输出 。 

则 路 由 器 对 其 进行 NAT 操作 ,从 全 球 IP 地 址 池 中 选择 一 个 未 分 配 的 全 球 IP 地 址 ， 
创建 一 项 地 址 转换 项 ,IP 分 组 的 源 IP 地 址 作为 地 址 转换 项 中 的 Inside Local( 内 部 私有 地 
址 ) ,从 全 球 IP 地 址 池 中 选择 的 全 球 IP 地 址 作为 Inside Global( 内 部 全 球 地 址 ) ,用 内 部 
全 球 地 址 取代 IP 分 组 的 源 IP. 地 址 。 

当 路 由 器 通过 连接 外 部 网 络 的 接口 接收 到 某 个 IP 分 组 ,首先 用 该 IP 分 组 的 目的 TP 
地 址 检索 地 址 转换 表 , 如 果 找 到 内 部 全 球 地 址 与 该 IP. 分 组 的 目的 TP. 地 址 相同 的 地 址 转 
换 项 , 则 用 该 地 址 转换 项 中 的 内 部 私有 地 址 取代 IP 分 组 的 目的 IP 地址 。 

2. 配置 静态 NAT 

命令 序列 如 下 : 


Router (config)fip nat inside source static 192.168.1.3 192.1.3.13 
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ip nat inside source static 192, 168. 1. 3 192. 1. 3. 13 是 全 局 模式 下 使 用 的 命令 ,该 命 
邻 的 作用 是 创建 静态 地 址 转换 项 二 192. 168. 1. 3(Inside Local),192. 1. 3. 13 (Inside 
Global)>。 

路 由 器 执行 该 命令 后 ,对 于 通过 连接 内 部 网 络 的 接口 接收 到 的 源 IP 地 址 为 192. 
168. 1.3 的 IP 分 组 ,用 内 部 全 球 地 址 192. 1.3. 13 取代 源 IP 地 址 192. 168. 1. 3。 对 于 通 
过 连接 外 部 网 络 的 接口 接收 到 的 目的 IP 地 址 为 192.1.3.13 的 I 分 组 ,用 内 部 私有 地 址 
192. 168. 1. 3 取代 目的 IP 地址 192. 1. 3. 13. 


655 实验 步骤 


(1) 根据 如 图 6. 40 所 示 的 内 部 网 络 与 外 部 网 络 的 互 连 结构 放置 和 连接 设备 ,完成 设 
备 放置 和 连接 后 的 逻辑 工作 区 界面 如 图 6. 41 所 示 。 
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图 6.41 完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 


(2) 完成 路 由 器 Routerl, Router2, Router3 各 个 接口 的 IP 地 址 和 子 网 掩 码 配置 过 
程 。 完 成 路 由 器 Routerl ,Router2, Router3 的 RIP 配置 过 程 。 需 要 指出 的 是 ,完成 路 由 
器 Routerl , Router2 的 RIP 配置 过 程 时 ,直接 连接 的 网 络 中 不 包括 内 部 网 络 192. 168. 1. 
0/24。 完 成 路 由 器 Routerl, Router2, Router3 静态 路 由 项 配置 过 程 ,静态 路 由 项 中 的 目 
的 网 络 是 路 由 器 Routerl , Router? 配置 的 全 球 IP 地 址 池 。 完 成 上 述 配 置 过 程 后 ,路 由 器 
Routerl , Router2, Router3 分 别 生成 如 图 6. 42、 图 6. 43 和 图 6. 44 所 示 的 路 由 表 。 对 于 
路 由 器 Routerl ,路 由 器 Router? 连接 的 内 部 网 络 192. 168. 1. 0/24 是 不 可 见 的 。 对 于 路 
由 器 Router3 ,路 由 器 Routerl 和 Router2 连接 的 内 部 网 络 192. 168. 1. 0/24 都 是 不 可 见 
的 。192.1. 3.0/28 是 路 由 器 Routerl 配置 的 全 球 IP 地 址 池 。192. 1. 3.16/28 是 路 由 器 


eZ 
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—" 


Router2 配置 


的 全 球 耳 地 址 池 。 因 此 ,这 两 个 目的 网 络 的 下 一 跳 分 别 是 路 由 器 Routerl 


和 Router2 连接 外 部 网 络 的 接口 的 TP 地 址 。 








Network Port 
182. 1. 1.0/24 FastEthernet0/1 — 
182. 1.2.0/24 FastEthernet0/1 192.1.1. 252 
192. 1.3. 16/28 == 192.1. 1.253 


192. 168. 1. 0/24 FastEthernet0/0 sa 
m 


Next Hop IP 


Metric 








6.42 路 由 器 Routeri 路 由 表 


Network Port 
192. 1, 1.0/24 FastEthernet0/0 c 
182.1.2.0/24 FastEthernet0/O 182.1.1.252 
192. 1, 3. 0/28 nd 192.1.1.254 
182. 168. 1. 0/24 FastEthernet(/1 vus 


m 


Next Hop IP Metric 





图 6.43 路 由 器 Router2 路 由 表 


Network Port 
192. 1. 1.0/24 FastEthernet0/0 a 
FastEthernet0/1 s 
192. 1, 1.254 
192. 1. 1.253 


Next Hop IP 


192. 1.2.0/24 
192. 1.30/28 
192. 1.3. 16/28 








图 6.44 路 由 器 Router3 路 由 表 


(3) 完成 各 个 终端 和 服务 器 的 网 络 信息 配置 过 程 。 

(D 在 CLI( 命 令 行 接口 ) 配 置 方式 下 ,完成 以 下 功能 的 配置 过 程 。 路 由 器 Routerl 
和 Router2 中 创建 全 球 IP 地 址 池 的 过 程 ;建立 全 球 TP 地 址 池 与 需要 转换 的 私有 IP 地 址 
范围 之 间 的 映射 ; Routerl 中 建立 全 球 IP 地 址 192. 1. 3. 13 和 192. 1. 3. 14 与 Web 


Serverl 和 W 
Router2 中 建 
的 私有 IP 地 

(5) PCO 
Server3 的 界 
92. 168.1.7 


eb Server2 的 私有 IP 地 址 192. 168. 1. 3 和 192. 168. 1. 7 之 间 的 静态 映射 ; 
立 全 球 IP 地 址 192. 1. 3. 29 和 192. 1. 3. 30 与 Web Server3 和 Web Server4 
止 192. 168. 1.3 和 192. 168. 1. 7 之 间 的 静态 映射 。 

用 全 球 IP 地 址 192. 1. 3. 29 访问 私有 IP 地 址 为 192. 168. 1. 3 的 Web 
面 如 图 6. 45 所 示 。PC0 用 全 球 IP 地 址 192. 1. 3. 30 访问 私有 IP 地 址 为 
的 Web Server4 的 界面 如 图 6. 46 所 示 。 同 样 ,PC1 可 以 用 全 球 IP 地 址 











92.1.3.13 访问 私有 IP 地址 为 192. 168. 1. 3 的 Web Serverl, 用 全 球 IP 4b ht 192. 1. 3. 14 

















(6) PCO 
92. 168. 1.3 
AT 表 如 图 





访问 私有 IP 地 址 为 192. 168. 1. 7 的 Web Server2。 需 要 指出 的 是 ,与 PAT 不 同 ,NAT 
不 同 的 全 球 IP 地址 映射 不 同 的 内 部 服务 器 。 











全 球 IP 地 址 192. 1. 3. 29 和 192. 1. 3. 30 分 别 访问 私有 IP 地 址 为 
和 192.168.1.7 的 Web Server3 和 Web Server4 后 ,路 由 器 Routerl 的 
6.47 所 示 。 地 址 转换 项 过 192. 1. 3. 1:1025 CInside Global) ,192. 168. 1. 1: 
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图 6.45 PC0 访问 Web Server3 的 界面 
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Welcome to Cisco Packet Tracer. Opening doors to new opportunities. Mind Wide k 
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图 6.46 PC0 访问 Web Server 的 界面 


1025 (Inside Loca) 之 用 于 建立 内 部 网 络 私 有 JIP 地 址 192. 168. 1. 1 与 全 球 IP 地 址 池 中 的 
全 球 IP 地 址 192. 1. 3. 1 之 间 的 映射 。 路 由 器 Routerl 如 果 从 连接 内 部 网 络 的 接口 接收 
到 源 IP 地 址 为 192. 168. 1.1, 且 需要 通过 连接 外 部 网 络 的 接口 输出 的 TP 分 组 , 则 将 该 PP 
分 组 的 源 IP 地 址 改 为 192. 1.3.1。 反 之 ,路 由 器 Routerl 如 果 从 连接 外 部 网 络 的 接口 接收 
到 目的 全 地 址 为 192.1.3.1 的 他 分 组 , 则 将 该 他 分 组 的 目的 他 地 址 改 为 192. 168.1.1。 
路 由 器 Router? ff] NAT 表 如 图 6. 48 所 示 。 地 址 转换 项 过 192. 1. 3. 29 (Inside 
Global) ,192. 168. 1. 3(Inside Loca) 之 用 于 静态 建立 内 部 网 络 私 有 IP 地址 192. 168. 1. 3 
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与 全 球 IP 地 址 192. 1. 3. 29 之 间 的 映射 。 路 由 器 Router2 如 果 从 连接 内 部 网 络 的 接口 接 


收 到 源 IP 地 址 为 192. 168. 1. 3, 且 需要 通过 连接 外 部 网 络 的 接口 输出 的 


IP 分 组 , 则 将 该 他 


分 组 的 源 IP 地 址 改 为 192. 1. 3. 29。 反 之 ,路 由 器 Router2 如 果 从 连接 外 部 网 络 的 接口 接收 
到 目的 他 地 址 为 192.1.3.29 的 他 分 组 , 则 将 该 他 分 组 的 目的 他 地 址 改 为 192. 168. 1. 3。 


Protocol Inside Global Inside Local Outside Local OQutsi 
192.1.3.13 192.168.1.3 
192.1.3.14 192.168.1.7 


192.1.3.1:1025 192. 168. 1. 1:1025 
192. 1.3. 1:1026 192. 168. 1. 1:1026 








图 6.47 路 由 器 Routerl 地 址 转换 表 


Protocol Inside Global Inside Local Outside Local Outsi 
192. 1.3.29 192. 168.1.3 ass - 


182.1.3.30 192. 168. 1.7 S we 
192.1.3.29:80 182.168. 1. 3:80 192. 1.3. 1:1025 192.1.3.1 


192. 1.3. 30:80 192. 168. 1. 7:80 192. 1.3. 1:1026 192.1.3.1 
[7] 





图 6.48 路 由 器 Router2 地 址 转换 表 


de Global 


de Global 


1025 
1026 


(7) PCO 通过 浏览 器 访问 Web Server3 产生 的 IP 分 组 分 别 由 路 由 器 Routerl 和 


Router2 完成 NAT 过 程 。PC0 至 路 由 器 Routerl 的 IP 分 组 格式 如 图 


6. 49 所 示 ,该 IP 


分 组 的 源 TP 地 址 是 PCO 私有 IP 地址 192. 168. 1.1, 目 的 JP 地 址 是 在 浏览 器 地 址 栏 中 输 
人 的 全 球 IP 地 址 192. 1. 3. 29。 路 由 器 Routerl 至 路 由 器 Router2 的 IP 分 组 格式 如 
图 6.50 所 示 , 该 IP 分 组 的 源 IP 地 址 是 路 由 器 Routerl 全 球 IP 地 址 池 中 的 其 中 一 个 全 


ER IP Jii hk 192. 1. 3. 1, ELI TP 地 址 依然 是 全 球 IP 地 址 192. 1. 3. 29， 


由 路 由 器 Routerl 





完成 该 IP 分 组 的 源 IP 地 址 从 私有 TP 地 址 192.168. 1. 1 到 全 球 IP Jh 
PIU I. ion at Device: Switchl 
o [inbound PDU Details] Outbound PDU Details | - 


PDU Formats 





4 e 16 19 31 Bits 


- IHL DSCP: 0x0 TL: 44 
ID: 0x11 0x0 
TTL: 128 PRO: 0x6 CHKSUM 


SRC IP: 192.168.1.1 
DST IP: 192.1.3.29 
OPT: 0x0 
DATA (VARIABLE LENGTH) 











IC 


0 16 31 Bits 


SRC PORT: 1027 DEST PORT: 80 


m 























图 6.49 PCO 至 Routerl 的 IP 分 组 格式 





止 192. 1. 3. 1 的 转 
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换 过 程 。 路 由 器 Router? 至 Web Server3 的 IP 分 组 格式 如 图 6.51 所 示 , 该 IP 分 组 的 源 
IP 地 址 是 全 球 IP 地 址 192. 1. 3.1, 目 的 IP 地 址 是 Web Server3 的 私有 IP 地 址 192. 168. 
1.3, 由 路 由 器 Router2 完成 该 IP 分 组 的 目的 IP 地 址 从 全 球 IP 地 址 192. 1. 3. 29 到 私有 
IP 地 址 192. 168. 1.3 的 转换 过 程 。 








OSI Model 





Inbound PDU Details.| Outbound PDU Details | 





PDU Formats 





IP 
0 


16 19 


31 Bits 








CHKSUM | 

SRC IP: 192.1.3.1 

DST IP: 192.1.3.29 | 

OPT: 0x0 0x0 
DATA (VARIABLE LENGTH) 


























TcP 
0 16 31 Bits 
SRC PORT: 1027 DEST PORT: 80 
‘ m » 











图 6.50 Routerl 至 Router2 的 IP 分 组 格式 


PDU Information at Device 


OstModel | inbound PDU Details.| Outbound PDU Details | 


PDU Formats 











a |m T pscp: oxo TL: 44 
1D: 0x11 | ox2 | 0x0 
TIL: 126 CHKSUM 
SRC IP: 192.1.3.1 
DST IP: 192.168.1.3 
OPT: 0x0 
DATA (VARIABLE LENGTH) 








XP 


0 16 31 Bits 


SRC PORT: 1027 DEST PORT: 80 


m 





























Æ 6.51 Router2 Æ Web Server3 的 IP 分 组 格式 


656 ”命令 行 接口 配置 过 程 


1. 路 由 器 Routerl 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router>enable 


NB 
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Router# configure terminal 

Router (config)finterface FastEthernet0/0 

Router (config-if)fno shutdown 

Router (config-if)fip address 192.168.1.254 255.255.255.0 

Router (config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)fno shutdown 

Router (config-if)fip address 192.1.1.254 255.255.255.0 

Router (config-if)fexit 

Router (config)frouter rip 

Router (config-router)f&network 192.1.1.0 

Router (config-router)fexit 

Router (config)fip route 192.1.3.16 255.255.255.240 192.1.1.253 
Router (config)faccess-list 1 permit 192.168.1.0 0.0.0.255 

Router (config)faccess-list 1 deny any 

Router (config)fip nat pool al 192.1.3.1 192.1.3.12 netmask 255.255.255.240 
Router (config)fip nat inside source list 1 pool al 

Router (config)fip nat inside source static 192.168.1.3 192.1.3.13 
Router (config)fip nat inside source static 192.168.1.7 192.1.3.14 
Router (config)finterface FastEthernet0/0 

Router (config-if)fip nat inside 

Router (config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)fip nat outside 


Router (config-if)fexit 


2. 路 由 器 Router2 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router»enable 

Routerfconfigure terminal 

Router (config)finterface FastEthernet0/0 

Router (config-if)f$no shutdown 

Router (config-if)fip address 192.1.1.253 255.255.255.0 
Router (config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)#no shutdown 

Router (config-if)fip address 192.168.1.254 255.255.255.0 
Router (config-if)fexit 

Router (config)frouter rip 

Router (config-router)f$network 192.1.1.0 

Router (config-router)fexit 

Router (config)fip route 192.1.3.0 255.255.255.240 192.1.1.254 
Router (config)faccess-list 1 permit 192.168.1.0 0.0.0.255 
Router (config)faccess-list 1 deny any 

Router (config)fip nat pool bl 192.1.3.17 192.1.3.28 netmask 255.255.255.240 
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Router (config)fip nat inside source list 1 pool bl 

Router (config)fip nat inside source static 192.168.1.3 192.1.3.29 
Router (config)fip nat inside source static 192.168.1.7 192.1.3.30 
Router (config)finterface FastEthernet0/1 

Router (config-if)fip nat inside 

Router (config-if)fexit 

Router (config)finterface FastEthernet0/0 

Router (config-if)fip nat outside 


Router(config-if)fexit 


3. 路 由 器 Router3 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router>enable 

Router#configure terminal 

Router (config)#interface FastEthernet0/0 

Router (config-if)#no shutdown 

Router (config-if)#ip address 192.1.1.252 255.255.255.0 
Router(config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)#no shutdown 

Router (config-if)fip address 192.1.2.254 255.255.255.0 
Router(config-if)fexit 

Router (config)frouter rip 

Router (config-router)f&network 192.1.1.0 

Router (config-router)f$network 192.1.2.0 

Router (config-router)fexit 

Router (config)fip route 192.1.3.0 255.255.255.240 192.1.1.254 
Router (config)fip route 192.1.3.16 255.255.255.240 192.1.1.253 


4. 命令 列表 
路 由 器 命令 行 接口 配置 过 程 中 使 用 的 命令 及 功能 和 参数 说 明 如 表 6.5 所 示 。 
表 6.5 命令 列表 
命令 格式 功能 和 参数 说 明 





定义 全 球 IP 地 址 池 ,参数 name 是 全 球 IP 地 址 池 名 ,参数 startip 
是 起 始 地 址 ,参数 end-ip 是 结束 地 址 ,参数 netmask 是 定义 的 一 组 
全 球 IP 地 址 的 子 网 掩 码 


ip nat pool name start-i p end-ip 
netmask netmask 





将 允许 进行 地 址 转换 的 私有 地 址 范围 与 某 个 全 球 卫 地 址 池 绑 定 
ip nat inside source list access-List- | 在 一 起 。 参 数 access list-number 是 用 于 指定 允许 进行 地 址 转换 的 








number pool name 私有 地 址 范围 的 规则 集 编号 ,参数 name 是 已 经 定义 的 全 球 IP 地 
址 池 的 名 字 

ip nat inside source static locaL-ip | 创建 用 于 建立 私有 地 址 与 全 球 地 址 之 间 映 射 的 静态 地 址 转换 项 ， 

global-ip 参数 locaLip 是 私有 TP 地 址 ,参数 globaLip 是 全 球 IP 地 址 


ik. 粗 体 是 命令 关键 字 ,斜体 是 命令 参数 。 
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6.6 HSRP 实验 


热 备 份 路 由 器 协议 (Hot Standby Router Protocol, HSRP) J£ — fi 55 rie $9 8 rh AJLA 
协议 (Virtual Router Redundancy Protocol,VRRP) 有 着 相似 功能 的 协议 ,用 于 实现 默认 
网 关 的 容错 和 负载 均衡 。HSRP 是 Cisco 的 私有 协议 。 


6.6.1 实验 内 容 


HSRP 实现 过 程 如 图 6. 52 所 示 。 




















R3 
a e uu 
m=; 192.1.1.0/24 192.1.2.0/24 192.1.3.0/24 终端 C 


ZEB 192.1.1.253 


图 6.52 HSRP 实现 过 程 


路 由 器 R1 和 R2 组 成 一 个 热 备 份 组 ,每 一 个 热 备 份 组 可 以 模拟 成 单 台 虚拟 路 由 器 。 
每 一 台 虚拟 路 由 器 拥有 虚拟 IP 地 址 和 虚拟 MAC 地 址 。 在 一 个 热 备份 组 中 ,只 有 一 台 
由 器 作为 活动 路 由 器 ,其 余 路 由 器 作为 备份 路 由 器 。 只 有 活动 路 由 器 转发 IP 分 组 。 当 活 
动 路 由 器 失效 后 , 热 备 份 组 在 备份 路 由 器 中 选择 其 中 一 台 备份 路 由 器 作为 活动 路 由 器 。 

对 于 终端 A 和 终端 B, 每 一 个 热 备份 组 作为 单 台 虚拟 路 由 器 ,因此 ,除非 热 备份 组 中 
的 所 有 路 由 器 都 失效 ,否则 不 会 影响 终端 A 和 终端 B 与 终端 C 之 间 的 通信 过 程 。 

为 了 实现 负载 均衡 ,可 以 将 路 由 器 R1 和 R2 组 成 两 个 热 备份 组 ,其 中 一 个 热 备份 组 
将 路 由 器 R1 作为 活动 路 由 器 , 另 一 个 热 备份 组 将 路 由 器 R2 作为 活动 路 由 器 ,终端 A 将 
其 中 一 个 热 备份 组 对 应 的 虚拟 路 由 咒 作 为 默认 网 关 , 终 端 B 将 男 一 个 热 备份 组 对 应 的 虚 
拟 路 由 器 作为 默认 网 关 , 这 样 既 实现 了 设备 宛 余 ,又 实现 了 负载 均衡 。 


662 实验 目的 


(1) 理解 设备 元 余 的 含义 。 
(2) 掌握 HSRP 工作 过 程 。 
(3) 掌握 HSRP 配置 过 程 。 
(4) 理解 负载 均衡 的 含义 。 
(5) 掌握 负载 均衡 实现 过 程 。 


6.6.3 实验 原理 


为 了 实现 负载 均衡 ,采用 如 图 6. 53 所 示 的 HSRP 工作 环境 。 创 建 两 个 组 编号 分 别 
为 1 和 2 的 热 备 份 组 ,并 将 路 由 器 R1 和 R2 的 接口 1 分 配给 这 两 个 热 备份 组 ,为 组 编号 
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为 1 的 热 备 份 组 分 配 虚拟 IP 地 址 192. 1.1.250, 同 时 为 路 由 器 R2 配置 较 高 的 优先 级 ,使 
路 由 器 R2 成 为 组 编号 为 1 的 热 备 份 组 中 的 活动 路 由 器 。 为 组 编号 为 2 的 热 备份 组 分 配 





虚拟 TP 地 址 192. 1. 1. 251 ,同时 为 路 由 器 R1 配置 较 高 的 优先 级 ,使 路 由 器 R1 成 为 组 纺 


号 为 2 的 热 备 份 组 中 的 活动 路 由 器 。 将 终端 A 的 默认 网 关 地 址 配置 成 组 编号 为 1 的 热 
备份 组 对 应 的 虚拟 IP 地 址 192. 1. 1. 250 ,将 终端 了 的 默认 网 关 地 址 配置 成 组 编号 为 2 的 
热 备 份 组 对 应 的 虚拟 TP 地 址 192. 1. 1.251。 在 没有 发 生 错 误 的 情况 下 ,终端 B 将 路 由 器 
RI 作为 默认 网 关 , 终 端 A 将 路 由 器 R2 作为 默认 网 关 。 一 旦 某 台 路 由 器 发 生 故 障 , 另 一 
台 路 由 器 将 自动 作为 所 有 终端 的 默认 网 关 。 因 此 ,图 6. 53 所 示 的 HSRP 工作 环境 既 实 





现 了 容错 ,又 实现 了 负载 均衡 。 
R R2 





192.1.1.254 





H---4-- 组 编号 =1 
o 虚拟 忆 地 址 : 192.1.1.250 


mo pe 虚拟 MAC 地 址 : 00-00-0c-9f-10-01 






Tee . ”组 编号 -2 
-了 虚拟 IP 地 址 : 192.1.1.251 
虚拟 MAC 地 址 : 00-00-0c-9f-f0-02 





192.1.1.0/24 


终端 A 终端 B 


192.1.1 


.1/24 — 192.1.1.2/24 


192.1.1.250 — 192.1.1.251 


664 关键 命令 说 明 


图 6.53 容错 和 负载 均衡 的 实现 过 程 


1. 加 入 热 备 份 组 与 分 配 虚拟 IP 地 址 


以 下 命令 序列 用 于 将 路 由 器 接口 FastEthernet0/0 加 入 组 编号 为 1 的 热 备份 组 ,为 该 
热 备份 组 分 配 虚 拟 IP 地 址 192. 1. 1. 250, 并 为 路 由 器 接口 FastEthernet0/0 分 配 在 组 编 





号 为 1 的 热 备份 组 中 的 优先 级 。 


Router (config)#interface FastEthernet0/0 
Router (config-if)#standby 1 ip 192.1.1.250 


Router (config-if)#standby 1 priority 60 


Router (config-if)#exit 


standby 1 ip 192. 1. 1. 250 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 有 两 个 ; 一 
是 将 该 接口 (这 里 是 接口 FastEthernet0/0) 加 入 组 编号 为 1 的 热 备份 组 ;二 是 为 组 编号 为 
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1 的 热 备 份 组 分 配 虚拟 TP 地 址 192. 1. 1. 250. 

standby 1 priority 60 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 将 该 接口 (这 里 是 
接口 FastEthernet0/0) 在 组 编号 为 1 的 热 备 份 组 中 的 优先 级 设置 为 60。 优 先 级 越 高 ,该 接口 
所 在 的 路 由 器 越 有 可 能 成 为 该 热 备份 组 的 活动 路 由 器 。 优 先 级 取 值 范围 是 1~255。 

2. 配置 允许 抢占 方式 

以 下 命令 序列 不 仅 将 路 由 器 接口 FastEthernet0/0 加 入 组 编号 为 1 的 热 备份 组 ,为 该 
热 备 份 组 分 配 虚拟 IP 地 址 192. 1. 1. 250 ,并 为 路 由 器 接口 FastEthernet0/0 分 配 在 组 编号 
为 1 的 热 备 份 组 中 的 优先 级 ,同时 将 路 由 器 接口 FastEthernet0/0 配置 成 允许 抢占 方式 。 


Router (config)finterface FastEthernet0/0 
Router (config-if)fstandby 1 ip 192.1.1.250 
Router (config-if)fstandby 1 priority 100 
Router (config-if)fstandby 1 preempt 


Router (config-if)fexit 


standby 1 preempt 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 将 该 接口 (这 里 
是 接口 FastEthernet0/0) 在 组 编号 为 1 的 热 备份 组 中 的 工作 方式 配置 成 允许 抢占 方式 。 
该 接口 一 旦 配置 成 允许 抢占 方式 , 当 该 接口 的 优先 级 大 于 组 编号 为 1 的 热 备份 组 中 活动 
路 由 器 的 优先 级 时 ,该 接口 所 在 的 路 由 器 立即 成 为 活动 路 由 器 。 


665 实验 步骤 


(1) 根据 如 图 6. 52 所 示 的 互连网 结构 放置 和 连接 设备 ,完成 设备 放置 和 连接 后 的 逻 
辑 工作 区 界面 如 图 6. 54 所 示 。 
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图 6.54 完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 


(2) 为 路 由 器 Routerl Router? 和 Router3 的 各 个 接口 配置 IP 地 址 和 子 网 掩 码 。 
Routerl 接口 FastEthernet0/0 的 MAC 地 址 ,IP 地 址 和 子 网 掩 码 如 图 6. 55 所 示 。 
Router2 接口 FastEthernet0/0 的 MAC Jt AE, IP 地 址 和 子 网 掩 码 如 图 6. 56 所 示 。 这 两 


个 接口 将 分 别 加 入 组 编号 为 1 和 2 的 热 备份 组 。 


Config ES 
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图 6.56  Router2 接口 FastEthernet0/0 配置 界面 


(3) 为 路 由 器 Routerl, Router? 和 Router3 配置 RIP。 路 由 器 Routerl, Router? 和 


Router3 生成 的 路 由 表 分 别 如 图 6. 57、 图 6. 58 和 图 6. 59 所 示 。 


(4) 在 CLI( 命 令 行 接口 ) 配 置 方式 下 ,完成 以 下 功能 配置 过 程 。 将 Routerl 和 
Router? 的 接口 FastEthernet0/0 加 入 组 编号 为 1 的 热 备份 组 ,为 该 热 备份 组 配置 虚拟 TP 
地 址 192. 1. 1. 250 ,并 使 Router? 成 为 组 编号 为 1 的 热 备份 组 的 活动 路 由 器 ;将 Routerl 
和 Router2 的 接口 FastEthernet0/0 加 入 组 编号 为 2 的 热 备份 组 ,为 该 热 备份 组 配置 虚拟 














4qp/ MERTER 
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Network Port Next Hop IP 
192. 1. 1.0/24 FastEthernet0/0 


192. 1.2.0/24 FastEthernet0/1 
192. 1.3.0/24 FastEthernet0/1 
m 








6.57 路 由 器 Routerl 路 由 表 


Network Port Next Hop IP 
182. 1.1.0/24 FastEthernet0/0 
192. 1.2. 0/24 FastEthernet0/1 
192. 1. 3. 0/24 FastEthernet0/1 
m 





6.58 路 由 器 Router2 路 由 表 


Network Port Next Hop IP Metric 
182.1. 1.0/24 FastEthernet0/0 192. 1.2. 254 
182.1.1.0/24 FastEthernet0/0 192. 1.2.253 
192. 1. 2. 0/24 FastEthernet0/0 -一 
182.1.3.0/24 FastEthernet0/1 -— 


m 








图 6.59 路 由 器 Router3 路 由 表 


IP 地 址 192. 1. 1.251 ,并 使 Routerl 成 为 组 编号 为 2 的 热 备份 组 的 活动 路 由 器 。 

(5) PCO 将 组 编号 为 1 的 热 备份 组 对 应 的 虚拟 路 由 器 作为 默认 网 关 , 因 此 ,将 192. 1. 
1. 250 作为 默认 网 关 地 址 。PC0 配置 的 网 络 信息 如 图 6. 60 所 示 。 虚 拟 IP 地 址 192. 1. 1. 
250 对 应 的 MAC 地 址 是 虚拟 MAC 地 址 0000. 0c9f. f001 ,如 图 6. 61 所 示 。 
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6.60 PC0 配置 的 网 络 信息 
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| Physical | Config | Desktop | Software/Services 





Command Prompt 











图 6.61 虚拟 IP 地 址 192.1.1.250 对 应 的 MAC 地 址 


(6) 切换 到 模拟 操作 模式 ,启动 PCO 至 PC2 ICMP 报 文 传输 过 程 。 在 PCO 连接 的 以 

太 网 内 ,封装 ICMP 报 文 的 IP 分 组 格式 和 封装 该 IP 分 组 的 MAC 帧 格式 如 图 6. 62 所 
示 ,MAC 帧 的 目的 MAC 地 址 是 虚拟 TP 地址 192. 1. 1. 250 对 应 的 虚拟 MAC 地 址 0000. 
0c9f. f001, PCO 至 PC2 ICMP 报 文 传输 路 径 经 过 Router2 ,如 图 6.63 所 示 。 一 旦 删除 
Router2 连接 交换 机 Switch0 的 物理 链 路 ,在 无 须 修改 PCO 配置 的 网 络 信息 的 情况 下 ， 
PC0 至 PC2 ICMP 报 文 传输 路 径 自动 改 为 经 过 Routerl, 如 图 6. 64 所 示 
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图 6.62 IP 分 组 和 MAC 帧 格式 
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6.63 PCO 至 PC2 传输 路 径 
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图 6.64 Router2 失效 后 的 PCO 至 PC2 传输 路 径 


C) 切换 到 实时 操作 模式 ,PC1 将 组 编号 为 2 的 热 备 份 组 对 应 的 虚拟 路 由 器 作为 默 
认 网 关 , 因 此 ,将 192. 1. 1. 251 作为 默认 网 关 地 址 。PC1 配置 的 网 络 信息 如 图 6. 65 所 示 。 
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虚拟 IP 地 址 192. 1. 1. 251 对 应 的 MAC 地 址 是 虚拟 MAC 地 址 0000. 0c9f. f002, 如 
图 6.66 所 示 。 


Physical | Config | Desktop | Software/Sevices 





IP Configuration 


IP Configuration 
DHCP 6 Static 


IP Address 192.1.1.2 











Subnet Mask 255.255.255.0 








Default Gateway 192.1.1.251 








DNS Server 





1Pv6 Configuration 
DHCP Auto Config & Static 





IPv6 Address y 








Link Local Address — |FE80::2D0:58FF:FEES:3884 














IPV6 Gateway 








IPv6 DNS Server 








图 6.65 PCI 配置 的 网 络 信息 


Physical | Config | Desktop | Software/Serwices. 


Command Prompt 








图 6.66 虚拟 IP 383 192. 1. 1.251 对 应 的 MAC 地 址 


(8) 切换 到 模拟 操作 模式 ,启动 PCI 至 PC2 ICMP 报 文 传输 过 程 。PC1 至 PC2 
ICMP 报 文 传输 路 径 经 过 Routerl. 如 图 6. 67 所 示 。 一 旦 删除 Routerl 连接 交换 机 
Switch0 的 物理 链 路 ,在 无 须 修改 PC1 配置 的 网 络 信息 的 情况 下 ,PC1 至 PC2 ICMP 报 文 
传输 路 径 自动 改 为 经 过 Router2 ,如 图 6. 68 所 示 。 
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6.67 PCI 至 PC2 传输 路 径 
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图 6.68 Routeri 失效 后 的 PCI 至 PC2 传输 路 径 
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666 命令 行 接口 配置 过 程 


1. 路 由 器 Routerl 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router>enable 

Router# configure terminal 

Router (config) #interface FastEthernet0/0 
Router (config-if)#no shutdown 

Router (config-if)#ip address 192.1.1.254 255.255.255.0 
Router (config-if)#exit 

Router (config)#interface FastEthernet0/1 
Router (config-if)#no shutdown 

Router (config-if)#ip address 192.1.2.254 255.255.255.0 
Router (config-if)#exit 

Router (config)#interface FastEthernet0/0 
Router (config-if)#standby 1 ip 192.1.1.250 
Router (config-if)#standby 1 priority 60 
Router (config-if)#exit 

Router (config) #interface FastEthernet0/0 
Router (config-if)#standby 2 ip 192.1.1.251 
Router (config-if)#standby 2 priority 100 
Router (config-if)#standby 2 preempt 
Router (config-if)#exit 

Router (config)#router rip 

Router (config-router)#network 192.1.1.0 
Router (config-router)#network 192.1.2.0 


Router (config-router)#exit 


2. 路 由 器 Router2 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router>enable 

Router# configure terminal 

Router (config)#interface FastEthernet0/0 

Router (config-if)#no shutdown 

Router (config-if)#ip address 192.1.1.253 255.255.255.0 
Router (config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)$no shutdown 

Router (config-if)fip address 192.1.2.253 255.255.255.0 
Router (config-if)ftexit 


Router (config)finterface FastEthernet0/0 
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Router (config-if)#standby 1 ip 192.1.1.250 
Router (config-if)fstandby 1 priority 100 
Router (config-if)fstandby 1 preempt 
Router (config-if)fexit 

Router (config)finterface FastEthernet0/0 
Router (config-if)fstandby 2 ip 192.1.1.251 
Router (config-if)f$standby 2 priority 60 
Router (config-if)fexit 

Router (config)frouter rip 

Router (config-router)fnetwork 192.1.1.0 
Router (config-router)fnetwork 192.1.2.0 


Router (config-router)fexit 


3. 路 由 器 Router3 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router»enable 

Router# configure terminal 

Router (config)finterface FastEthernet0/0 

Router (config-if)#no shutdown 

Router (config-if)fip address 192.1.2.252 255.255.255.0 
Router (config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)#no shutdown 

Router (config-if)fip address 192.1.3.254 255.255.255.0 
Router (config-if)fexit 

Router (config)frouter rip 

Router (config-router)f$network 192.1.2.0 

Router (config-router)$network 192.1.3.0 


Router (config-router)fexit 


4. 命令 列表 
路 由 器 命令 行 接口 配置 过 程 中 使 用 的 命令 及 功能 和 参数 说 明 如 表 6.6 所 示 。 
表 6.6 命令 列表 
命令 格式 功能 和 参数 说 明 








standby [ groupnumber ] ip | 将 指定 接口 加 入 到 组 编号 由 参数 groupnumber 指定 的 热 备份 组 中 ,并 
ipaddress 为 该 热 备 份 组 分 配 由 参数 ipaddress 指定 的 虚拟 IP 地 址 





为 某 个 接口 分 配 在 指定 热 备 份 组 中 的 优先 级 , 热 备 份 组 的 组 编号 由 参 
数 group-number 指定 ,优先 级 由 参数 priority 指定 


standby [ grouf-number ] 
priority priority 





standby [ grouf-number | 
preempt 


将 某 个 接口 在 指定 热 备 份 组 中 的 工作 方式 指定 为 允许 抢占 方式 。 热 备 
份 组 的 组 编号 由 参数 groupe number 指定 


注 : 粗 体 是 命令 关键 字 , 斜 体 是 命令 参数 。 
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虚拟 专用 网 络 (Virtual Private Network,VPN ) 主 要 解决 四 个 问题 : 一 是 通过 在 内 部 
网 络 各 个 子 网 之 间 建 立 点 对 点 TP. 隧道 ,解决 由 互联 网 互联 的 内 部 网 络 各 个 子 网 之 间 的 通 
信 间 题 ; 二 是 通过 在 点 对 点 TP. 隧道 两 端 之 间 建 立 安全 关联 ,解决 内 部 网 络 各 个 子 网 之 间 
的 安全 通信 问题 ;三 是 通过 VPN 接 入 技术 解决 远程 终端 访问 内 部 网 络 资源 的 问题 ;四 是 
通过 安全 插口 层 (Secure Socket Layer, SSL) VPN 网 关 解 决 远程 终端 访问 内 部 网 络 资源 
的 问题 。 


7.1 点 对 点 卫 隧道 实验 


7.1.1 实验 内 容 


VPN 物理 结构 如 图 7.1(a) 所 示 。 路 由 器 R4、R5 和 R6 构成 公共 网 络 , 边 缘 路 由 器 
R1,R2 和 R3 一 端 连接 内 部 子 网 , 另 一 端 连接 公共 网 络 。 由 于 公共 网 络 无 法 传输 以 私有 
IP 地 址 (私有 IP 地 址 也 称 为 本 地 IP 地 址 ) 为 源 和 目的 TP. 地 址 的 TP. 分 组 ,因此 ,由 公共 网 
络 互 连 的 多 个 分 配 私有 TP 地 址 的 内 部 子 网 之 间 无 法 直接 进行 通信 。 为 了 实现 被 公共 网 
络 分 隔 的 多 个 内 部 子 网 之 间 的 通信 过 程 , 需 要 建立 以 边缘 路 由 器 连接 公共 网 络 的 接口 为 
两 端的 点 对 点 IP. 隧道 ,并 为 点 对 点 IP. 隧道 的 两 端 分 配 私有 IP 地 址 。 因 此 将 图 7.1(a) 所 
示 的 物理 结构 转变 为 图 7. 1(b) 所 示 的 逻辑 结构 ,点 对 点 IP. 隧道 成 为 互 连 边缘 路 由 器 的 
虚拟 点 对 点 链 路 ,边缘 路 由 器 之 间 能 够 通过 点 对 点 IP 隧道 直接 传输 以 私有 IP 地 址 为 源 
和 目的 全 地 址 的 下 分 组 。 点 对 点 IP 隧道 经 过 公共 网 络 ,因此 需要 通过 隧道 技术 完成 以 
私有 TP 地 址 为 源 和 目的 IP 地 址 的 IP 分 组 经 过 公共 网 络 传输 的 过 程 。 
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(1) 掌握 VPN 设计 过 程 。 

(2) 掌握 点 对 点 IP 隧道 配置 过 程 。 

(3) 掌握 公共 网 络 路 由 项 建立 过 程 。 

(4) 掌握 内 部 网 络 路 由 项 建立 过 程 。 

(5) 验证 公共 网 络 障 道 两 端 之 间 的 传输 路 径 的 建立 过 程 。 
(6) 验证 基于 隧道 实现 的 内 部 子 网 之 间 IP 分 组 传输 过 程 。 
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192.168.1.0/24 






HORA 
ii I 
192.168.1.1 m ERES 







192.168.3.0/24 














192.168.2.0/24 
Web 服务 器 


192.1.5.1 192.168.3.3 


公共 网 络 


(a) 网 络 物理 结构 


RI 路 由 表 
目的 网 络 距离 下 一 跳 。 ”输出 接口 
192.168.1.0/24 0 ”直接 1 
192.168.2.0/24 1 19216842 ”隧道 1 
192.168.024 1 192.168.5.2 隧道 2 


服务 器 C 
192.168.3.3 


目的 网 络 距离 下 一 跳 。 ”输出 接口 
192.168.1.024 | 192.168.5.1 ”隧道 2 
192.168.2.0/24 1 192.168.6.1 ”隧道 3 
192.168.3.0/24 0 直接 1 








目的 网 络 距离 下 一 跳 。 ”输出 接口 
192.168.1.0/24 1 192.168.4.1 ”隧道 1 
192.168.2.0/24 0 ”直接 1 

192.168.3.0/24 1 192.168.6.2 ”隧道 3 





(b) 网 络 逻 辑 结构 
7.4 VPN 结构 
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以 下 操作 是 通过 隧道 技术 完成 以 私有 TP 地 址 为 源 和 目的 TP 地 址 的 IP 分 组 经 过 公 
共 网 络 传输 的 过 程 的 前 提 。 

l. 建立 公共 网 络 端 到 端 传输 路 径 
建立 路 由 器 R1、R2 和 R3 连接 公共 网 络 的 接口 之 间 的 TP. 传输 路 径 是 建立 路 由 器 
R1,R2 fü R3 连接 公共 网 络 的 接口 之 间 的 点 对 点 IP. 隧道 的 前 提 , 如 图 7.1(a) 所 示 。 
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图 7.1(a) 中 的 公共 网 络 包含 路 由 器 RARS 和 RG 连接 的 所 有 网 络 , 以 及 边缘 路 由 器 
RI,R2 和 R3 连接 公共 网 络 的 接口 ,可 以 将 上 述 范围 的 公共 网 络 定义 为 单个 OSPF 区 域 ， 
通过 OSPF 在 各 人 台 路 由 器 中 建立 用 于 指明 边缘 路 由 器 R1, R2 和 R3 连接 公共 网 络 的 接口 
之 间 的 IP 传输 路 径 的 路 由 项 。 

2. 建立 点 对 点 IP 隧道 

实现 分 配 私有 IP 地 址 的 内 部 子 网 之 间 互 连 的 VPN 逻辑 结构 如 图 7. 1(b) 所 示 ,关键 
是 创建 实现 边缘 路 由 器 R1、R2 和 R3 之 间 两 两 互 连 的 点 对 点 IP 隧道 。 由 于 每 一 条 点 对 
点 I 隧道 的 两 端 是 边缘 路 由 器 连接 公共 网 络 的 接口 ,因此 ,边缘 路 由 器 连接 公共 网 络 的 
接口 分 配 的 全 球 TP. 地 址 也 成 为 每 一 条 点 对 点 IP. 隧道 两 端的 全 球 IP 地 址 。 

点 对 点 IP 隧道 完成 以 私有 TP 地 址 为 源 和 目的 IP 地 址 的 IP 分 组 两 台 边 缘 路 由 器 之 
间 传 输 的 过 程 如 下 : 点 对 点 IP 隧道 一 端的 边缘 路 由 器 将 以 私有 TP 地址 为 源 和 目的 IP 
地 址 的 I 了 PP 分 组 作为 净 荷 ,重新 封装 成 以 点 对 点 IP. 隧道 两 端的 全 球 IP 地 址 为 源 和 目的 IP 
地 址 的 IP 分 组 。 以 点 对 点 IP 隧道 两 端的 全 球 IP 地 址 为 源 和 目的 IP 地 址 的 IP 分 组 沿 
着 通过 OSPF 建立 的 路 由 器 R1、R2 和 R3 连接 公共 网 络 的 接口 之 间 的 TP. 传输 路 径 从 点 
对 点 IP 隧道 的 一 端 传输 到 点 对 点 TP 隧道 的 另 一 端 。 点 对 点 IP 隧道 男 一 端的 边缘 路 由 
器 从 以 点 对 点 TP. 隧道 两 端的 全 球 TP 地 址 为 源 和 目的 IP 地 址 的 IP 分 组 中 分 离 出 以 私有 
TP 地址 为 源 和 目的 IP 地 址 的 IP 分 组 ,以 此 完成 以 私有 TP 地 址 为 源 和 目的 TP 地 址 的 TP 
分 组 经 过 点 对 点 TP. 隧道 传输 的 过 程 。 

3. 建立 内 部 子 网 之 间 的 传输 路 径 

对 于 内 部 子 网 ,公共 网 络 是 不 可 见 的 ,实现 边缘 路 由 器 之 间 互 连 的 是 两 端 分 配 私有 
IP 地 址 的 虚拟 点 对 点 链 路 (点 对 点 IP 隧道 )。 实 现 内 部 子 网 互 连 的 VPN 人 逻辑 结构 如 
图 7.1(b) 所 示 。 每 一 台 边 缘 路 由 器 的 路 由 表 中 建立 用 于 指明 通 往 所 有 内 部 子 网 的 传输 
路 径 的 路 由 项 。 每 一 台 边 缘 路 由 器 通过 RIP 创建 用 于 指明 通 往 没有 与 该 边缘 路 由 器 直 
接连 接 的 内 部 子 网 的 传输 路 径 的 路 由 项 。 

4. 建立 边缘 路 由 器 完整 路 由 表 

边缘 路 由 器 需要 配置 两 种 类 型 的 路 由 进程 ,一 种 是 OSPF 路 由 进程 ,用 于 创建 边缘 路 
由 器 连接 公共 网 络 接口 之 间 的 传输 路 径 , 这 些 传输 路 径 是 建立 点 对 点 IP 隧道 的 基础 ; 另 
一 种 是 RIP 路 由 进程 ,该 路 由 进程 基于 边缘 路 由 器 之 间 的 点 对 点 IP 隧道 创建 内 部 子 网 
之 间 的 传输 路 径 。 

边缘 路 由 器 的 路 由 表 中 存在 多 种 类 型 的 路 由 项 ,第 一 种 是 直 连 路 由 项 ,包括 物理 接口 
直接 连接 的 网 络 (如 路 由 器 R1 两 个 物理 接口 直接 连接 的 网 络 192. 168. 1. 0/24 和 192. 1. 
1. 0/24) 和 隧道 接口 直接 连接 的 网 络 (如 路 由 器 RI 隧道 1 连接 的 网 络 192. 168. 4. 0/24 
和 隧道 2 连接 的 网 络 192. 168. 5. 0/24) ;第 二 种 是 OSPF 创建 的 动态 路 由 项 ,用 于 指明 通 
往 公 共 网 络 中 各 个 子 网 的 传输 路 径 ; 第 三 种 是 RIP 创建 的 动态 路 由 项 ,用 于 指明 通 往 各 
个 内 部 子 网 的 传输 路 径 。 


7.1.4 关键 命令 说 明 
以 下 命令 序列 用 于 为 隧道 接口 分 配 私有 IP 地 址 和 子 网 掩 码 ,并 完成 隧道 定义 过 程 。 


Router (config)finterface tunnel 1 
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Router (config-if)#ip address 192.168.4.1 255.255.255.0 


Router (config-if)ftunnel source FastEthernet0/1 


Router (config-if)ftunnel destination 192.1.2.1 


Router (config-if)fexit 


interface tunnel 1 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 有 两 个 : 一 是 创建 编号 为 
1 fj IP 隧道 接 口 ;二 是 进入 该 隧道 接口 的 隧道 接口 配置 模式 。 

ip address 192. 168. 4. 1 255. 255. 255. 0 是 隧道 接口 配置 模式 下 使 用 的 命令 ,为 隧道 
接口 配置 私有 IP 地 址 192. 168. 4. 1 和 子 网 掩 码 255. 255. 255. 0。 路 由 器 将 隧道 接口 等 
同 于 普通 物理 接口 ,如 以 太 网 接口 。 

tunnel source FastEthernet0/1 是 隧道 接口 配置 模式 下 使 用 的 命令 ,用 于 指定 本 路 由 
器 所 连接 的 隧道 一 端 ( 称 为 隧道 源 端 ) 的 全 球 TP 地 址 。 该 命令 通过 指定 作为 隧道 源 端的 
路 由 器 接口 FastEthernet0/1 ,确定 将 路 由 器 接口 FastEthernet0/1 的 全 球 IP 地 址 作为 隧 
道 源 端的 全 球 IP 地 址 。 接 口 FastEthernet0/1 是 该 路 由 器 连接 公共 网 络 的 接口 。 

tunnel destination 192. 1.2. 1 是 隧道 接口 配置 模式 下 使 用 的 命令 ,用 于 指定 隧道 另 
一 端 ( 称 为 隧道 目的 端 ) 的 全 球 TP 地 址 ,该 IP 地 址 是 作为 隧道 另 一 端的 边缘 路 由 器 连接 
公共 网 络 的 接口 的 全 球 IP 地 址 。 

隧道 两 端 是 边缘 路 由 器 连接 公共 网 络 的 接口 ,隧道 定义 过 程 就 是 指定 作为 隧道 两 端 
的 边缘 路 由 器 连接 公共 网 络 的 接口 的 全 球 IP 地 址 的 过 程 。 


7.1.5 实验 步 又 


(1) 根据 如 图 7. 1(a) 所 示 网 络 结构 放置 和 连接 设备 ,完成 设备 放置 和 连接 后 的 逻辑 
工作 区 界面 如 图 7.2 所 示 。 
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图 7.2 放置 和 连接 设备 后 的 逻辑 工作 区 界面 
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(2) 为 每 一 台 路 由 器 的 各 个 接口 配置 IP 地 址 和 子 网 掩 码 。 

(3) 在 CLI( 命 令 行 接口 ) 配 置 方式 下 ,完成 将 路 由 器 Router4、Router5 和 Router6 的 
各 个 接口 以 及 路 由 器 Routerl, Router2 和 Router3 连接 公共 网 络 的 接口 分 配 到 同一 个 
OSPF 区 域 的 配置 过 程 。 

(4) 在 CLI( 命 令 行 接口 ) 配 置 方式 下 ,完成 以 下 功能 的 配置 过 程 。 定 义 路 由 器 Routerl 、 
Router2 和 Router3 连接 公共 网 络 的 接口 之 间 的 全 隧道 ;为 隧道 接口 配置 私有 TP 地 址 。 

(5) 路 由 器 Routerl , Router2 和 Router3 在 直接 连接 的 网 络 中 ,选择 内 部 网 络 和 隧道 
接口 连接 的 网 络 作为 参与 RIP 创建 动态 路 由 项 过 程 的 网 络 。 

(6) 完成 上 述 配 置 过 程 后 ,每 一 台 路 由 器 建立 了 完整 路 由 表 。 路 由 器 Routerl 的 完 
整 路 由 表 如 图 7.3 所 示 。 路 由 项 分 为 三 类 : 第 一 类 类 型 为 C, 用 于 指明 通 往 直接 连接 的 
网 络 的 传输 路 径 的 路 由 项 ,这 些 路 由 项 中 包含 IP 隧道 接口 连接 的 网 络 ; 第 二 类 类 型 为 0， 
用 于 指明 通 往 没 有 与 该 路 由 器 直接 连接 的 公共 子 网 的 传输 路 径 的 路 由 项 ;第 三 类 类 型 为 
R, 用 于 指明 通 往 没 有 与 该 路 由 器 直接 连接 的 内 部 子 网 的 传输 路 径 的 路 由 项 。O 型 路 由 
项 由 OSPF 创建 ,R 型 路 由 项 由 RIP 创建 。 路 由 器 Router2 和 Router3 的 完整 路 由 表 分 
别 如 图 7.4 和 图 7.5 所 示 , 路 由 项 类 型 与 Routerl 相似 。 路 由 器 Router4 的 完整 路 由 表 




















Network Port Next Hop IP 
192. 1.1.0/24 FastEthernet0/1 = 
192.1.2.0/24 FastEthernet0/1 192.1.1.2 
192. 1. 3. 0/24 FastEthernet0/1 192.1.1.2 
192.1. 4. 0/24 FastEthernet0/1 192.1.1.2 
192. 1.5.0/24 FastEthernet0/1 192.1.1.2 
192. 1.6. 0/24 FastEthernet0/1 192.1.1.2 


192. 168. 1. 0/24 FastEthernet0/0 pes 
182. 168. 2. 0/24 Tunnell 192.168.4.2 
182. 168. 3. 0/24 182.168.5.2 
192. 168. 4. 0/24 Tunnell sea 
192. 168. 5. 0/24 = 
192. 168. 6. 0/24 192.168.4.2 
192. 168.6. 0/24 192.188.5.2 





图 7.3 路 由 器 Routerl 完整 路 由 表 


Network Port Next Hop IP 
192. 1.1.0/24 FastEthernet0/1 192.1.2.2 
192. 1.2.0/24 FastEthernet0/1 
192. 1.3.0/24 FastEthernet0/1 1.2.2 
192. 1. 4.0/24 FastEthernet0/1 122 
192. 1.5.0/24 FastEthernetD/1 122 
182.1.6.0/24 FastEthernet0/1 1.22 


192. 168. 1.0/24 Tunnell 168.4.1 
192. 168. 2. 0/24 FastEthernet0/0 

192. 168. 3. 0/24 168.6.2 
192. 168. 4. 0/24 

192. 168. 5. 0/24 168.6.2 
192. 168. 5. 0/24 168. 4.1 
192. 168. 6. 0/24 











图 7.4 路 由 器 Router2 完整 路 由 表 
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如 图 7.6 所 示 。 路 由 项 分 为 两 类 : 第 一 类 类 型 为 C, 用 于 指明 通 往 直 接连 接 的 公共 子 网 
的 传输 路 径 的 路 由 项 ;第 二 类 类 型 为 0, 用 于 指明 通 往 没有 与 该 路 由 器 直接 连接 的 公共 子 
网 的 传输 路 径 的 路 由 项 。 路 由 器 Router5 和 Router6 的 完整 路 由 表 分 别 如 图 7. 7 和 
图 7.8 所 示 ,路 由 项 类 型 与 Router4 相似 。 








Routing Table for R 
Network Port Next Hop IP 

1.1.0/24 FastEtherneto/1 1.3.2 
1.2. 0/24 FastEthernet0/1 1.3.2 
1.3.0/24 FastEtherneto/1 
1.4.0/24 FastEthernet0/1 1.3.2 
1.5.0/24 FastEtherneto/1 13.2 
1.6.0/24 FastEthernet0/1 13.2 
166.1.0/24 Tunnel? 168.5.1 
168. 2. 0/24 Tunnel3 168.6.1 
168.3. 0/24 FastEthernet0/0 
168. 4.0/24 Tunnel3 168.6.1 
168. 4. 0/24 168.51 
168.5. 0/24 
168. 6. 0/24 





Network Port Next Hop IP Metric 
1.0/24 FastEthernet0/0 
2.0/24 FastEtherneto/1 142 
3.0/24 FastEthernet1/0 1.6.2 
4.0/24 FastEtherneto/1 
5.0/24 FastEtherneto/1 
5.0/24 FastEthernet1/0 
6.0/24 FastEthernet1/0 


n 


Network Port Next Hop IP 
192. 1. 1. 0/24 FastEthernet0/1 192.1.4.1 
192. 1.2. 0/24 FastEthernet0/0 
192. 1.3. 0/24 FastEthernet1/0 
192. 1.4. 0/24 FastEthernet0/1 
192. 1.5. 0/24 FastEthernet1/0 
192. 1.6.0/24 FastEthernet0/1 


192. 1.6. 0/24 FastEthernet1/0 
m 


Network Port Next Hop IP 
1.1.0/24 FastEthernet1/0 1.6.1 
1.2.0/24 FastEthernet0/1 1.5.1 
1.3.0/24 FastEthernet0/0 
1.4.0/24 FastEtherneto/1 151 
1.4.0/24 了 astEthernetl/0 1.6.1 
1.5.0/24 FastEtherneto/1 
1.6.0/24 FastEthernetl/0 

n 








图 7.8 路 由 器 Router6 完整 路 由 表 
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CO 切换 到 模拟 操作 模式 ,启动 PCO 至 Server2 的 ICMP 报 文 传输 过 程 。 内 部 子 网 
中 ICMP 报 文 封装 过 程 如 图 7. 9 所 示 , ICMP 报 文 封装 成 以 PCO 的 私有 IP 地 址 192. 
168. 1. 1 Jg ii IP 地 址 .以 Server2 的 私有 了 IP 地址 192. 168. 3. 3 为 目的 IP 地 址 的 卫 分 
组 。 公 共 网 络 中 ICMP 报 文 封装 过 程 如 图 7. 10 所 示 , 以 PCO 的 私有 全 地 址 192. 168. 1.1 
为 源 IP 地 址 、 以 Server2 的 私有 IP 地址 192. 168. 3. 3 为 目的 IP 地 址 的 IP 分 组 封装 成 
GRE 格式 ,并 以 GRE 格式 为 净 荷 ,封装 成 以 Routerl 连接 公共 网 络 的 接口 的 IP. 地 址 
192. 1. 1. 1 Jg ili IP 地址 ,以 Router3 连接 公共 网 络 的 接口 的 IP 地 址 192. 1. 3. 1 为 目的 
IP 地址 的 IP 分 组 ,为 了 区 分 ,将 以 PCO 的 私有 IP 地址 192. 168. 1. 1 为 源 IP 地 址 、 以 
Server2 的 私有 TP 地 址 192. 168. 3. 3 为 目的 IP 地址 的 IP 分 组 称 为 内 层 TP. 分 组 ,将 以 
Routerl 连接 公共 网 络 的 接口 的 IP 地 址 192. 1. 1. 1 为 源 IP 地 址 .以 Router3 连接 公共 网 
络 的 接口 的 IP heht 192. 1.3. 1 为 目的 IP 地 址 的 IP 分 组 称 为 外 层 IP 分 组 。 内 部 网 络 内 
传输 内 层 IP 分 组 ,公共 网 络 内 传输 外 层 IP 分 组 。 








OSLModel.| Inbound PDU Details | Outbound PDU Details. | 
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图 7.9 内 层 四 分 组 格式 


716 命令 行 接口 配置 过 程 


1. Router 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router>enable 

Router#configure terminal 

Router (config)#hostname Routerl 
Routerl(config)finterface FastEthernet0/0 
Routerl(config-if)f£no shutdown 

Routerl(config-if)fip address 192.168.1.254 255.255.255.0 
Routerl(config-if)fexit 


Routerl(config)finterface FastEthernet0/1 


Ne» 
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OSLModel| Inbound PDU Details | Outbound PDU Details. | 
PDU Formats 
E A 
0 4 8 16 19 31 Bits 








SRC IP: 192.1.1.1 
DST IP: 192.1.3.1 




















OPT: 0x0 0x0 
DATA (VARIABLE LENGTH) 
GRE 
0 e 16 31 Bits 
FLAGS: 0 PROTOCOL TYPE: 
0x800 
IP 
0 4 e 16 19 31 Bits 








CHKSUM 
SRC IP: 192.168.1.1 
DST IP: 192.168.3.3 


























*1 





OPT: 0x0 0x0 
DATA (VARIABLE LENGTH) 
ICMP 
0 e 16 31 Bits 
TYPE: 0x8 | CODE: 0x0 CHECKSUM m 
ID: 0x4 SEQ NUMBER: 3 ~ 
" 

















图 7.10 外 层 IP 分 组 格式 


Routerl (config-if)#no shutdown 

Routerl(config-if)fip address 192.1.1.1 255.255.255.0 
Routerl(config-if)fexit 

Routerl(config)frouter ospf 01 
Routerl(config-router)fnetwork 192.1.1.0 0.0.0.255 area 1 
Routerl(config-router)fexit 

Routerl(config)finterface tunnel 1 
Routerl(config-if)fip address 192.168.4.1 255.255.255.0 
Routerl(config-if)ftunnel source FastEthernet0/1l 
Routerl(config-if)ftunnel destination 192.1.2.1 
Routerl(config-if)fexit 

Routerl(config)finterface tunnel 2 
Routerl(config-if)fip address 192.168.5.1 255.255.255.0 
Routerl(config-if)ftunnel source FastEthernet0/1l 
Routerl(config-if)ftunnel destination 192.1.3.1 
Routerl(config-if)fexit 


Routerl(config)frouter rip 
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Routerl (config-router)#network 192.168.1.0 
Routerl (config-router)#network 192.168.4.0 
Routerl (config-router)#network 192.168.5.0 


Routerl(config-router)fexit 


2. Router? 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router>enable 

Router#configure terminal 

Router (config)#hostname Router2 

Router2 (config)#interface FastEthernet0/0 

Router2 (config-if)#no shutdown 

Router2 (config-if)#ip address 192.168.2.254 255.255.255.0 
Router2 (config-if)#exit 

Router2 (config)#interface FastEthernet0/1 

Router2 (config-if)#no shutdown 

Router2 (config-if)#ip address 192.1.2.1 255.255.255.0 
Router2 (config-if)#exit 

Router2 (config)#router ospf 02 

Router2 (config-router)#network 192.1.2.0 0.0.0.255 area 1 
Router2 (config-router)#exit 

Router2 (config)#interface tunnel 1 

Router2 (config-if)#ip address 192.168.4.2 255.255.255.0 
Router2 (config-if)#tunnel source FastEthernet0/1 
Router2 (config-if)#tunnel destination 192.1.1.1 
Router2 (config-if)#exit 

Router2 (config)#interface tunnel 3 

Router2 (config-if)#ip address 192.168.6.1 255.255.255.0 
Router2 (config-if)#tunnel source FastEthernet0/1 
Router2 (config-if)#tunnel destination 192.1.3.1 
Router2 (config-if)#exit 

Router2 (config)#router rip 

Router2 (config-router)#network 192.168.2.0 

Router2 (config-router)#network 192.168.4.0 

Router2 (config-router)#network 192.168.6.0 


Router2 (config-router)#exit 


3. Router3 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router>enable 

Router# configure terminal 

Router (config)#hostname Router3 

Router3 (config)#interface FastEthernet0/0 


Router3 (config-if)#no shutdown 


Y 
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Router3 (config-if)#ip address 192.168.3.254 255.255.255.0 
Router3 (config-if)#exit 

Router3 (config)#interface FastEthernet0/1 

Router3 (config-if)#no shutdown 

Router3 (config-if)#ip address 192.1.3.1 255.255.255.0 
Router3(config-if)fexit 

Router3(config)frouter ospf 03 
Router3(config-router)fnetwork 192.1.3.0 0.0.0.255 area 1 
Router3(config-router)fexit 

Router3(config)finterface tunnel 2 
Router3(config-if)fip address 192.168.5.2 255.255.255.0 
Router3(config-if)ftunnel source FastEthernet0/1 
Router3(config-if)ftunnel destination 192.1.1.1 
Router3(config-if)fexit 

Router3(config)finterface tunnel 3 
Router3(config-if)fip address 192.168.6.2 255.255.255.0 
Router3(config-if)ftunnel source FastEthernet0/1l 
Router3(config-if)ftunnel destination 192.1.2.1 
Router3(config-if)fexit 

Router3 (config)# router rip 

Router3 (config-router)#network 192.168.3.0 

Router3 (config-router)#network 192.168.5.0 

Router3 (config-router)#network 192.168.6.0 


Router3 (config-router)#exit 


4. Routers 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router»enable 

Routerfconfigure terminal 

Router (config)fhostname Router4 

Router4 (config)finterface FastEthernet0/0 

Router4 (config-if)#no shutdown 
Router4(config-if)fip address 192.1.1.2 255.255.255.0 
Router4(config-if)fexit 

Router4 (config)finterface FastEthernet0/1 
Router4(config-if)#no shutdown 
Router4(config-if)fip address 192.1.4.1 255.255.255.0 
Router4(config-if)fexit 

Router4 (config)finterface FastEthernetl/0 

Router4 (config-if)#no shutdown 
Router4(config-if)fip address 192.1.6.1 255.255.255.0 
Router4(config-if)fexit 

Router4 (config)# router ospf 04 
Router4(config-router)fnetwork 192.1.1.0 0.0.0.255 area 1 
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Router4 (config-router)#network 192.1.4.0 0.0.0.255 area 1 
Router4 (config-router)#network 192.1.6.0 0.0.0.255 area 1 


Router4(config-router)fexit 


5. Routers 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router»enable 

Router# configure terminal 

Router (config)fhostname Router5 
Router5(config)finterface FastEthernet0/0 

Router5 (config-if)#no shutdown 

Router5 (config-if)#ip address 192.1.2.2 255.255.255.0 
Router5(config-if)fexit 

Router5(config)finterface FastEthernet0/1 

Router5 (config-if)#no shutdown 

Router5(config-if)fip address 192.1.4.2 255.255.255.0 
Router5(config-if)fexit 

Router5(config)finterface FastEthernetl/0 
Router5(config-if)$no shutdown 

Router5(config-if)fip address 192.1.5.1 255.255.255.0 
Router5(config-if)fexit 

Router5 (config)# router ospf 05 

Router5 (config-router)#network 192.1.2.0 0.0.0.255 area 1 
Router5 (config-router)#network 192.1.4.0 0.0.0.255 area 1 
Router5 (config-router)#network 192.1.5.0 0.0.0.255 area 1 


Router5 (config-router)#exit 


6. Router6 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router>enable 

Router#configure terminal 

Router (config)#hostname Router6 

Router6 (config)#interface FastEthernet0/0 

Router6 (config-if)#no shutdown 
Router6(config-if)fip address 192.1.3.2 255.255.255.0 
Router6 (config-if)fexit 

Router6 (config)finterface FastEthernet0/1 

Router6 (config-if)f£no shutdown 
Router6(config-if)fip address 192.1.5.2 255.255.255.0 
Router6 (config-if)fexit 

Router6 (config)finterface FastEthernetl/0 

Router6 (config-if)$no shutdown 

Router6 (config-if)fip address 192.1.6.2 255.255.255.0 


Router6 (config-if)fexit 


M 


`w 网 络 安全 实验 教程 


Router6 (config)# router ospf 06 

Router6(config-router)fnetwork 192.1.3.0 0.0.0.255 area 1 
Router6 (config-router)fnetwork 192.1.5.0 0.0.0.255 area 1 
Router6(config-router)fnetwork 192.1.6.0 0.0.0.255 area 1 


Router6 (config-router)fexit 





7. 命令 列表 
路 由 器 命令 行 接口 配置 过 程 中 使 用 的 命令 及 功能 和 参数 说 明 如 表 7.1 所 示 。 
表 7.1 命令 列表 
命令 格式 功能 和 参数 说 明 
RE 创建 编号 由 参数 wxmlber 指 定 的 隧道 接口 ,并 进入 该 隧道 接口 的 隧 
道 接 口 配置 模式 


指定 隧道 源 端 IP 地 址 ,该 源 端 IP 地 址 可 以 通过 参数 ipaddress 
或 ipv6-address 直接 给 出 ,也 可 以 通过 参数 inter facety pe 
interface-number 指定 某 个 路 由 器 接口 ,用 该 接口 的 IP 地 址 作为 


tunnel source (ipaddress | i puô- 
address | interfacetype 





inter face-number | REETAN 
tunnel destination { ipaddress| | 指定 隧道 目的 端 IP JU WE «3 A hi 38; 了 地址 通过 参数 ipaddress 
ipv6-address ) 3k ipv6-address 直接 给 出 


ik. 粗 体 是 命令 关键 字 ,斜体 是 命令 参数 。 
7.2 10S 路 由 器 IP Sec VPN 实验 


724 实验 内 容 


本 实验 在 点 对 点 IP 隧道 实验 的 基础 上 进行 ,验证 通过 IP Sec 实现 经 过 点 对 点 IP 隧 
道 传输 的 以 私有 TP 地 址 为 源 和 目的 TP 地 址 的 TP 分 组 的 保密 性 和 完整 性 的 过 程 。 

点 对 点 IP 隧道 只 是 解决 了 以 私有 TP 地 址 为 源 和 目的 TP 地 址 的 IP 分 组 跨 公 共 网 络 
传输 的 问题 ,但 没有 解决 以 私有 TP 地 址 为 源 和 目的 IP 地址 的 IP 分 组 经 过 公共 网 络 传输 
时 ,需要 保证 其 保密 性 与 完整 性 的 问题 以 及 点 对 点 IP 隧道 两 端 之 间 的 双向 鉴别 问题 。 解 
决 上 述 问题 的 方法 是 建立 点 对 点 TP. 隧道 两 端 之 间 的 双向 安全 关联 。 动 态 建立 安全 关联 
的 协议 是 Internet 安全 关联 和 密 钥 管理 协议 (Internet Security Association and Key 
Management Protocol, ISAKMP) .ISKMP 分 两 阶段 建立 点 对 点 TP. 隧道 两 端 之 间 的 双向 
安全 关联 ,第 一 阶段 是 建立 点 对 点 IP 隧道 两 端 之 间 的 安全 传输 通道 ;第 二 阶段 是 建立 点 
对 点 IP 隧道 两 端 之 间 的 双向 安全 关联 。 


7.2.2 实验 目的 


(1) 掌握 ISAKMP 策略 配置 过 程 。 

(2) 掌握 IP Sec 参数 配置 过 程 。 

(3) 验证 IP Sec 安全 关联 建立 过 程 。 

(4) 验证 封装 安全 净 荷 (Encapsulating Security Payload,ESP) 报 文 的 封装 过 程 。 
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(5) 验证 基于 IP Sec VPN 的 数据 传输 过 程 。 
7.2.3 实验 原理 


点 对 点 IP 隧道 只 能 解决 由 公共 网 络 (如 Internet) 实 现 互 连 的 内 部 子 网 之 间 的 通信 
问题 ,但 不 能 实现 内 部 子 网 之 间 的 安全 通信 。 实 现 安全 通信 ,一 是 需要 对 隧道 两 端的 路 由 
器 实现 双向 身份 鉴别 ,以 免 发 生 假冒 内 部 子 网 与 其 他 内 部 子 网 通信 的 情况 ;二 是 需要 保证 
经 过 公共 网 络 传输 的 数据 的 完整 性 和 保密 性 。IP Sec 协议 就 是 一 种 实现 内 层 IP 分 组 经 
过 隧道 安全 通信 的 协议 。 通 过 ISAKMP 在 隧道 两 端 之 间 建立 IP Sec 安全 关联 ,将 内 层 
IP 分 组 封装 成 ESP 报 文 后 ,再 经 过 隧道 传输 。ISAKMP 分 两 阶段 完成 隧道 两 端 之 间 IP 
Sec 安全 关联 建立 过 程 ,第 一 阶段 是 建立 安全 传输 通道 ,在 这 一 阶段 ,隧道 两 端 需要 约定 
加 密 算 法 , 报 文摘 要 算法 ,鉴别 方式 和 DH 组 号 ;第 二 阶段 是 建立 IP. Sec 安全 关联 ,在 这 
一 阶段 ,隧道 两 端 需要 约定 安全 协议 ` 加 密 算法 和 散 列 消息 鉴别 码 (Hashed Message 
Authentication Codes, HMAC) 算 法 。 

1. 建立 安全 传输 通道 

隧道 两 端 在 建立 安全 传输 通道 时 ,需要 完成 身份 鉴别 协议 、 密 钥 交 换算 法 和 加 密 / 解 
密 算法 等 协商 过 程 ,因此 ,隧道 两 端 必须 就 身份 鉴别 协议 、 密 钥 交 换算 法 及 加 密 /解密 算法 
等 安全 属性 达成 一 致 。 配 置 安全 策略 的 目的 是 为 需要 建立 安全 传输 通道 的 隧道 两 端 配 置 
相同 的 安全 属性 。 

2, 建立 安全 关联 

在 建立 安全 关联 时 需要 确定 安全 协议 .加 密 算法 和 HMAC 算法 等 。IP Sec 可 以 选 
择 鉴别 首部 (Authentication Header,AH) 或 ESP 作为 安全 关联 的 安全 协议 。 在 选择 AH 
时 需要 选择 HMAC 算法 ;在 选择 ESP 时 需要 选择 加 密 算法 和 HMAC 算法 。 配 置 IP Sec 
属性 就 是 在 隧道 两 端 配 置 相同 的 安全 协议 及 相关 算法 。 

3. 配置 分 组 过 滤器 

配置 分 组 过 滤器 的 目的 是 筛选 出 需要 经 过 IP Sec 安全 关联 传输 的 一 组 IP 分 组 。 在 
这 里 ,只 有 与 实现 内 部 子 网 之 间 通 信 相 关 的 IP 分 组 才 需 要 经 过 IP Sec 安全 关联 进行 
传输 。 

724 关键 命令 说 明 

1. 配置 安全 策略 

以 下 命令 序列 用 于 配置 隧道 两 端 建立 安全 传输 通道 时 需要 协商 的 身份 鉴别 协议 、 密 
钥 交 换算 法 和 加 密 / 解 密 算 法 等 。 隧 道 两 端 需要 配置 相同 的 身份 鉴别 协议 、 密 钥 交 换算 法 
和 加 密 / 解 密 算法 等 。 





Router (config)#crypto isakmp policy 1 

Router (config-isakmp)#authentication pre-share 
Router (config-isakmp)#encryption 3des 

Router (config-isakmp)#hash md5 

Router (config-isakmp)#group 2 
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Router (config-isakmp)#1ifetime 3600 
Router (config-isakmp)fexit 


Router (config)fcrypto isakmp key 1234 address 0.0.0.0 0.0.0.0 


crypto isakmp policy 1 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 有 两 个 : 一 是 定义 
编号 和 优先 级 为 1 的 安全 策略 ;二 是 进入 策略 配置 模式 。 需 要 建立 安全 传输 通道 的 两 端 
可 以 定义 多 个 安全 策略 ,编号 和 优先 级 越 小 的 安全 策略 优先 级 越 高 ,隧道 两 端 成 功 建立 安 
全 传输 通道 的 前 提 是 隧道 两 端 存在 匹配 的 安全 策略 。 

authentication pre-share 是 策略 配置 模式 下 使 用 的 命令 ,(config-isakmp) +# 是 策略 配 
置 模式 下 的 命令 提示 符 。 该 命令 的 作用 是 为 该 安全 策略 指定 鉴别 机 制 ,pre-share 表示 采 
用 共享 密 钥 鉴别 机 制 。 存 在 多 种 鉴别 机 制 , 如 基于 RSA 的 数字 签名 等 。Packet Tracer 
只 支持 共享 密 钥 鉴别 机 制 。 

encryption 3des 是 策略 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 为 该 安全 策略 指定 
加 密 算法 3DES。Packet Tracer 支持 的 加 密 算法 有 3DES, AES 和 DES. 

hash md5 是 策略 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 为 该 安全 策略 指定 报 文摘 
要 算法 MD5。Packet Tracer 支持 的 报 文摘 要 算法 有 MD5 和 SHA。 

group 2 是 策略 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 为 该 安全 策略 指定 Diffie- 
Hellman 组 标识 符 2, 即 建立 安全 传输 通道 时 ,隧道 两 端 通过 Diffie-Hellman 密 钥 交 换算 
法 同步 密 钥 ,并 使 用 组 标识 符 2 对 应 的 参数 。Packet Tracer 支持 的 Diffie-Hellman 组 标 
WFA 1,2 M5. 

lifetime 3600 是 策略 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 指定 3600 秒 为 该 安全 
策略 相关 的 IKE 安全 关联 的 寿命 , 即 安全 传输 通道 的 寿命 。 一 旦 超过 了 3600 秒 , 将 重新 
建立 安全 传输 通道 ,也 称 IKE 安全 关联 。 

crypto isakmp key 1234 address 0. 0. 0. 0 0. 0. 0. 0 是 全 局 模式 下 使 用 的 命令 ,该 命令 
的 作用 是 为 需要 建立 安全 传输 通道 , 且 采 用 共享 密 钥 鉴别 机 制 的 隧道 两 端 配置 共享 密 钥 。 
1234 是 配置 的 共享 密 钥 ,用 地 址 和 子 网 掩 码 0. 0. 0. 0/0. 0. 0. 0 表示 另 一 端 任 意 。 可 以 通 
过 地 址 和 子 网 掩 码 唯 一 指定 隧道 男 一 端 或 男 一 端的 范围 。 

2. 配置 IP Sec 变换 集 

以 下 命令 用 于 配置 隧道 两 端 建立 安全 关联 时 所 需要 的 安全 协议 及 相关 算法 。 隧 道 两 
端 需要 配置 相同 的 安全 协议 及 相关 算法 。 





Router (config)#crypto ipsec transform-set tunnel esp- 3des esp-md5-hmac 


crypto ipsec transform-set tunnel esp-3des esp-md5-hmac 是 全 局 模式 下 使 用 的 命 
令 , 该 命令 的 作用 是 指定 安全 协议 使 用 的 HMAC 算法 和 加 密 算 法 。 如 果 选 择 AH 作为 
安全 协议 , 则 可 以 选择 的 HMAC 算法 有 ah-md5-hmac 和 ah-sha-hmac。 如 果 选 择 ESP 
作为 安全 协议 , 则 可 以 选择 的 加 密 算法 有 esp-3des、esp-aes 和 esp-des, 可 以 选择 的 HMAC 算 
法 有 esp-md5-hmac 和 esp-sha-hmac。 可 以 同时 选择 AH 和 ESP, 因 此 最 多 可 以 指定 三 
种 算法 ,这 些 算法 的 集合 称 为 变换 集 。 这 里 ,tunnel 是 变换 集 名 字 ,esp-3des 和 esp-md5- 
hmac 分 别 是 选择 ESP 作为 安全 协议 后 ,指定 的 加 密 算 法 和 HMAC 算法 。 
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3. 配置 分 组 过 滤器 


以 下 命令 序列 用 于 指定 需要 经 过 安全 关联 传输 的 TP 分 组 集 。 


Router (config)faccess-list 101 permit gre host 192.1.1.1 host 192.1.2.1 


Router (config)faccess-list 101 deny ip any any 


上 述 分 组 过 滤器 指定 的 TP. 分 组 是 源 TP JURE 192. 1. 1. 1. Eh) IP JE JS 192. 1. 2. 
1, 且 以 GRE 格式 封装 内 层 TP 分 组 的 外 层 IP 分 组 ,这 种 TP 分 组 是 封装 内 部 子 网 间 传 输 
1l IP 分 组 后 产生 的 用 于 经 过 隧道 传输 的 外 层 IP 分 组 。 

4. 配置 加 密 映 射 

以 下 命令 序列 用 于 将 指定 安全 关联 所 使 用 的 安全 协议 和 相关 算法 的 IP Sec 变换 集 
与 分 类 经 过 该 安全 关联 传输 的 IP 分 组 集 的 分 组 过 滤器 绑 定 在 一 起 。 


Router (config)#crypto map tunnel 10 ipsec- isakmp 

Router (config-crypto-map)fset peer 192.1.2.1 

Router (config-crypto-map)fset pfs group2 

Router (config-crypto-map)f$set security-association lifetime seconds 900 
Router (config-crypto-map)fset transform-set tunnel 

Router (config-crypto-map) match address 101 


Router (config-crypto-map)fexit 


crypto map tunnel 10 ipsec-isakmp 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 有 两 
个 ; 一 是 创建 一 个 ipsec-isakmp 环境 下 作用 的 加 密 映射 ;二 是 进入 加 密 映 射 配 置 模式 。 
tunnel 是 加 密 映射 名 ,10 是 序号 。 

set peer 192, 1. 2. 1 是 加 密 映射 配置 模式 下 使 用 的 命令 ,(config-crypto-map)# 是 加 
密 映射 配置 模式 下 的 命令 提示 符 。 该 命令 的 作用 是 指定 安全 关联 的 另 一 端 ,192. 1. 2. 1 
是 安全 关联 男 一 端的 IP 地 址 。 

set pfs group? 是 加 密 映 射 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 指定 Diffie 
Hellman 密 钥 交换 算法 和 组 标识 符 2 对 应 的 参数 。 当 需要 重新 建立 安全 关联 时 ,隧道 两 
端 通过 Diffie-Hellman 密 钥 交换 算法 同步 密 钥 ,并 使 用 组 标识 符 2 对 应 的 参数 。 

set security-association lifetime seconds 900 是 加 密 映 射 配 置 模式 下 使 用 的 命令 ,该 命令 
的 作用 是 指定 900 秒 是 安全 关联 的 寿命 , 即 一 旦 超过 900 秒 ,需要 重新 建立 安全 关联 。 

set transform-set tunnel 是 加 密 映射 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 指定 
安全 关联 使 用 的 安全 协议 及 与 该 安全 协议 相关 的 各 种 算法 ,tunnel 是 变换 集 名 ,安全 关联 
使 用 该 变换 集 指定 的 安全 协议 及 相关 算法 。 

match address 101 是 加 密 映 射 配 置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 指定 经 过 安全 
关联 传输 的 卫 分 组 集 。 由 编号 为 101 的 分 组 过 滤器 确定 经 过 安全 关联 传输 的 TP 分 组 集 。 

上 述 加 密 映 射 指 定 了 安全 关联 的 有 关 参 数 、 安 全 关联 另 一 端的 TP 地 址 ( 即 安全 关联 
目的 IP. 地 址 ) ,安全 关联 使 用 的 安全 协议 及 相关 算法 ,经 过 安全 关联 传输 的 IP 分 组 集 。 

5. 作用 加 密 映射 

以 下 命令 序列 用 于 将 名 为 tunnel 加 密 映射 作用 到 接口 FastEthernet0/1 上 。 
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Router (config)finterface FastEthernet0/1 
Router (config-if)fcrypto map tunnel 


Router (config-if)fexit 


crypto map tunnel 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 将 名 为 tunnel 加 
密 映 射 作用 到 指定 路 由 器 接口 (这 里 是 FastEthernet0/D 。 

一 旦 将 某 个 加 密 映射 作用 到 某 个 路 由 器 接口 , 则 通过 isakmp 动态 建立 以 该 路 由 器 接 
口 为 源 端 ,以 加 密 映射 指定 的 目的 端 为 目的 端 ,使 用 加 密 映 射 指定 的 安全 协议 及 各 种 相关 
算法 的 安全 关联 。 所 有 经 过 该 路 由 器 接口 输出 , 且 属 于 加 密 映 射 指定 的 IP 分 组 集 的 TP 
分 组 通过 安全 关联 完成 安全 传输 过 程 。 

如 果 需 要 创建 多 个 以 该 路 由 器 接口 为 源 端 ,但 目的 端 不 同 的 安全 关联 ,需要 定义 多 个 
名 字 相 同 , 但 序号 不 同 的 加 密 映 射 , 每 一 个 加 密 映射 对 应 一 个 安全 关联 。 


725 实验 步骤 


COD 在 第 7. 1 节 中 的 点 对 点 TP 隧道 实验 基础 上 进行 本 实验 。 

(2) 在 CLI( 命 令 行 接口 ) 配 置 方式 下 ,隧道 两 端 完成 安全 策略 配置 过 程 ,指定 建立 安 
全 传输 通道 使 用 的 加 密 算法 3DES、 报 文摘 要 算法 MD5 ,共享 密 钥 鉴别 机 制 和 DH 组 号 
DH-2。 隧 道 每 一 端 可 以 配置 多 个 安全 策略 ,但 两 端 必须 存在 匹配 的 安全 策略 ,否则 会 终 
JE IP Sec 安全 关联 建立 过 程 。 

(3) 由 于 双方 采用 共享 密 钥 鉴别 方式 ,隧道 两 端 需要 在 CLI( 命 令 行 接口 ) 配 置 方式 
下 完成 共享 密 钥 配置 过 程 。Packet Tracer 只 能 用 单个 共享 密 钥 绑 定 所 有 采用 共享 密 钥 
鉴别 机 制 的 隧道 两 端 。 

(4) 在 CLI( 命 令 行 接口 ) 配 置 方式 下 ,隧道 两 端 完 成 变换 集 配 置 过 程 。 隧 道 两 端 通 
过 指定 变换 集 确定 IP Sec 安全 关联 使 用 的 安全 协议 及 各 种 相关 算法 。 

(5) 在 CLI( 命 令 行 接口 ) 配 置 方式 下 ,通过 配置 分 组 过 滤器 指定 隧道 两 端 需要 进行 
安全 传输 的 IP 分 组 范围 。 

(6) 在 CLI( 命 令 行 接口 ) 配 置 方式 下 ,隧道 两 端 完成 加 密 映射 配置 过 程 。 加 密 映射 
中 将 IP Sec 安全 关联 另 一 端的 IP 地址 ,为 IP Sec 配置 的 变换 集 及 用 于 控制 需要 安全 传 
输 的 IP 分 组 范围 的 分 组 过 滤器 绑 定 在 一 起 。 如 果 某 个 端口 作为 多 条 隧道 的 源 端口 , 则 需 
要 创建 多 个 名 字 相 同 但 序号 不 同 的 加 密 映射 ,每 一 个 加 密 映 射 对 应 不 同 的 隧道 。 

CT) 在 CLI( 命 令 行 接口 ) 配 置 方 式 下 ,完成 将 创建 的 加 密 映射 作用 到 某 个 接口 的 过 
程 。 加密 映射 一 旦 作用 到 某 个 接口 上 , 则 按照 加 密 映 射 的 配置 ,自动 建立 IP Sec 安全 关 
联 ,并 通过 IP Sec 安全 关联 安全 传输 分 组 过 滤器 指定 的 IP 分 组 集 。 

(8) 在 隧道 两 端的 接口 各 自 创建 加 密 映 射 后 ,隧道 两 端 通过 ISAKMP. 自动 创建 IP 
Sec 安全 关联 ,内 层 IP 分 组 经 过 隧道 传输 时 ,封装 成 外 层 IP 分 组 。 外 层 IP 分 组 经 过 安全 
关联 传输 时 ,封装 成 ESP 报 文 。 图 7.11 所 示 是 图 7. 2 PCO 至 Server2 的 内 层 IP 分 组 ， 
以 内 部 网 络 本 地 TP 地 址 192. 168. 1. 1 和 192. 168. 3. 3 为 源 和 目的 TP 地址 。 图 7.12 所 
示 是 该 内 层 卫 分 组 封装 成 外 层 IP 分 组 的 过 程 , 它 首先 被 封装 成 GRE 格式 ,GRE 格式 被 
封装 成 外 层 卫 分组。 图 7. 13 所 示 是 外 层 卫 分 组 封装 成 ESP 报 文 的 过 程 。 外 层 IP 分 组 
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作为 ESP 报 文 的 净 荷 。ESP 采用 的 加 密 算法 是 3DES, 采 用 的 HMAC 算法 是 
HMAC-MD5. 
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图 7.12 内 层 中 分 组 封装 成 外 层 IP 分 组 过 程 
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7.13 外 层 IP 分 组 封装 成 ESP 报 文 过 程 


726 命令 行 接口 配置 过 程 


1，Routerl 5 IP Sec 有 关 的 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Routerl (config)#crypto isakmp policy 1 
Routerl(config-isakmp)fauthentication pre-share 
Routerl(config-isakmp)fencryption 3des 

Routerl(config-isakmp) hash md5 

Routerl(config-isakmp)fgroup 2 

Routerl(config-isakmp)flifetime 3600 

Routerl(config-isakmp)fexit 

Routerl(config)fcrypto isakmp key 1234 address 0.0.0.0 0.0.0.0 

Routerl (config)#crypto ipsec transform-set tunnel esp- 3des esp-md5-hmac 
Routerl(config)faccess-list 101 permit gre host 192.1.1.1 host 192.1.2.1 
Routerl(config)faccess-list 101 deny ip any any 
Routerl(config)faccess-list 102 permit gre host 192.1.1.1 host 192.1.3.1 


Routerl(config)faccess-list 102 deny ip any any 
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Routerl(config)fcrypto map tunnel 10 ipsec-isakmp 
Routerl(config-crypto-map)fset peer 192.1.2.1 
Routerl(config-crypto-map)fset pfs group2 
Routerl(config-crypto-map)fset security-association lifetime seconds 900 
Routerl(config-crypto-map)fset transform-set tunnel 
Routerl(config-crypto-map) match address 101 
Routerl(config-crypto-map)fexit 

Routerl (config)#crypto map tunnel 20 ipsec-isakmp 
Routerl(config-crypto-map)fset peer 192.1.3.1 
Routerl(config-crypto-map)fset pfs group2 
Routerl(config-crypto-map)fset security-association lifetime seconds 900 
Routerl(config-crypto-map)fset transform-set tunnel 
Routerl(config-crypto-map)fmatch address 102 
Routerl(config-crypto-map)ftexit 

Routerl(config)finterface FastEthernet0/1 

Routerl(config-if)fcrypto map tunnel 


Routerl(config-if)fexit 


2. Router2 5 IP Sec 有 关 的 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router2(config)fcrypto isakmp policy 1 
Router2(config-isakmp)fauthentication pre-share 
Router2(config-isakmp)fencryption 3des 

Router2 (config-isakmp) hash md5 

Router2 (config-isakmp)fgroup 2 

Router2 (config-isakmp)flifetime 3600 

Router2 (config-isakmp)fexit 

Router2 (config)#crypto isakmp key 1234 address 0.0.0.0 0.0.0.0 

Router2 (config)#crypto ipsec transform-set tunnel esp-3des esp-md5-hmac 
Router2(config)faccess-list 101 permit gre host 192.1.2.1 host 192.1.1.1 
Router2(config)faccess-list 101 deny ip any any 
Router2(config)faccess-list 102 permit gre host 192.1.2.1 host 192.1.3.1 
Router2(config)faccess-list 102 deny ip any any 

Router2 (config)#crypto map tunnel 10 ipsec-isakmp 

Router2 (config-crypto-map)fset peer 192.1.1.1 

Router2 (config-crypto-map)fset pfs group2 

Router2 (config-crypto-map)fset security-association lifetime seconds 900 
Router2 (config-crypto-map)fset transform-set tunnel 

Router2 (config-crypto-map) match address 101 

Router2 (config-crypto-map)fexit 

Router2 (config)fcrypto map tunnel 20 ipsec- isakmp 

Router2 (config-crypto-map)fset peer 192.1.3.1 

Router2 (config-crypto-map)fset pfs group2 
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Router2 (config-crypto-map)#set security-association lifetime seconds 900 
Router2 (config-crypto-map)#set transform-set tunnel 

Router2 (config-crypto-map)#match address 102 

Router2 (config-crypto-map)#exit 

Router2 (config)#interface FastEthernet0/1 

Router2 (config-if)#crypto map tunnel 


Router2 (config-if)#exit 


3. Router3 5 IP Sec 有 关 的 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router3 (config)#crypto isakmp policy 1 

Router3 (config-isakmp)#authentication pre-share 

Router3 (config-isakmp)#encryption 3des 

Router3 (config-isakmp)#hash md5 

Router3 (config-isakmp)#group 2 

Router3(config-isakmp)flifetime 3600 

Router3(config-isakmp)fexit 

Router3(config)fcrypto isakmp key 1234 address 0.0.0.0 0.0.0.0 
Router3(config)fcrypto ipsec transform-set tunnel esp- 3des esp-md5-hmac 
Router3(config)faccess-list 101 permit gre host 192.1.3.1 host 192.1.1.1 
Router3(config)faccess-list 101 deny ip any any 
Router3(config)faccess-list 102 permit gre host 192.1.3.1 host 192.1.2.1 
Router3(config)faccess-list 102 deny ip any any 

Router3(config)fcrypto map tunnel 10 ipsec-isakmp 
Router3(config-crypto-map)fset peer 192.1.1.1 
Router3(config-crypto-map)fset pfs group2 
Router3(config-crypto-map)fset security-association lifetime seconds 900 
Router3(config-crypto-map)fset transform-set tunnel 
Router3(config-crypto-map)fmatch address 101 
Router3(config-crypto-map)fexit 

Router3 (config)#crypto map tunnel 20 ipsec-isakmp 
Router3(config-crypto-map)fset peer 192.1.2.1 
Router3(config-crypto-map)fset pfs group2 
Router3(config-crypto-map)f$set security-association lifetime seconds 900 
Router3(config-crypto-map)fset transform-set tunnel 
Router3(config-crypto-map) match address 102 
Router3(config-crypto-map)fexit 

Router3(config)finterface FastEthernet0/1 

Router3 (config-if)fcrypto map tunnel 


Router3(config-if)fexit 


4. 命令 列表 
路 由 器 命令 行 接口 配置 过 程 中 使 用 的 命令 及 功能 和 参数 说 明 如 表 7.2 所 示 。 


命令 格式 
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表 7.2 命令 列表 
功能 和 参数 说 明 





crypto isakmp policy priority 


定义 安全 策略 ,并 进入 策略 配置 模式 。 参 数 priority 一 是 作 
为 编号 用 于 唯一 标识 该 策略 ;二 是 为 该 策略 分 配 优先 级 ,1 是 
最 高 优先 级 





authentication { rsarsig | rsa-encr| 
pre-share} 


指定 鉴别 机 制 ,rsarsig 指 RSA 数字 签名 鉴别 机 制 ,rsarencr 指 
RSA 加 密 随 机 数 鉴 别 机 制 , preshare 指 共享 密 钥 鉴别 机 制 





encryption {des | 3des | aes | aes 
192 | aes 256) 


指定 加 密 算 法 。DES .3DES、AES、AES 192 fil AES 256 是 各 种 
加 密 算法 





hash (sha | md5} 


指定 报 文摘 要 算法 。SHA 和 MDS 是 两 种 报 文摘 要 算法 





group (1 | 2 | 5) 


lifetime seconds 


crypto isakmp key keystring address 
peer-address [mask] 


crypto ipsec transform-set trans fornrset- 
[ transform ] 


[trans form3] [trans form] 


name  transforml 


crypto map 
ipsec-isakmp 


mapname — seq-num 


指定 Diffie-Hellman 组 标识 符 。1.2 和 5 是 可 供 选择 的 组 号 


指定 IKE 安全 关联 寿命 ,参数 seconds 以 秒 为 单位 给 出 IKE 
安全 关联 寿命 


指定 安全 关联 两 端 用 于 相互 鉴别 身份 的 共享 密 钥 , 参 数 
keystring 指定 共享 密 钥 ,安全 关联 两 端 配置 的 共享 密 钥 必 须 
相同 。 参 数 peeraddress 和 [mask]( 可 选 ) 用 于 指定 使 用 共享 
密 钥 的 另 一 端 


定义 变换 集 ,参数 transformset-name 指定 变换 集 名 ,最 多 可 
以 定义 四 种 变换 ,选择 AH 作为 安全 协议 ,需要 指定 HMAC 
算法 ,选择 ESP 作为 安全 协议 ,需要 指定 加 密 算法 和 HMAC 
算法 。 另 外 还 可 以 指定 压缩 算法 


创建 一 个 作用 于 ipsec-isakmp 的 加 密 映射 ,参数 ma pname 指 
定 加 密 映射 名 ,参数 seq-num 用 于 为 加 密 映 射 分 配 序号 ,同时 
进入 加 密 映射 配置 模式 。 加 密 映 射 的 作用 有 两 个 : 一 是 配置 
分 类 全 分 组 的 分 组 过 滤器 ;二 是 指定 作用 于 这 些 IP 分 组 的 
安全 策略 





set peer (hostname | ipaddress } 


指定 安全 关联 的 另 一 端 ,或 用 参数 hostname 指定 另 一 端的 域 
名 ,或 用 参数 ipaddress 指定 另 一 端的 1P 地 址 





set pfs [groupl | group2 | group5] 


指定 建立 安全 关联 时 使 用 的 Diffie-Hellman 组 标识 符 





set security-association lifetime 


seconds seconds 


指定 安全 关联 寿命 ,参数 seconds 以 秒 为 单位 给 出 安全 关联 
寿命 





set transform-set trans formrset-name 


指定 变换 集 . 参数 trans forncset-name 是 变换 集 名 字 





match address [ access-List-id | name] 


指定 用 于 过 滤 IP 分 组 的 分 组 过 滤器 access List-id 是 分 组 过 
滤器 编号 ,name 是 分 组 过 滤器 名 





crypto map ma f-name 





将 由 参数 ma pename 指定 的 加 密 映射 作用 于 某 个 路 由 器 接口 


È: 粗 体 是 命令 关键 字 ,斜体 是 命令 参数 。 
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7.3 ASASS0S IP Sec VPN 实验 


7.3.1 实验 内 容 


ASA5505 IP Sec VPN 实现 过 程 如 图 7. 14 所 示 , 每 一 个 ASA5505 的 一 端 连接 内 部 
网 络 ,分配 私有 IP 地 址 , 另 一 端 连 接 互 联网 ,分 配 全 球 IP 地 址 。 两 个 ASA5505 分 别 在 连 
接 互联 网 的 一 端 之 间 建 立 IP Sec 安全 关联 , 且 IP Sec 安全 关联 工作 在 隧道 模式 。 内 部 网 
络 之 间 传 输 的 以 私有 IP 地 址 为 源 和 目的 IP 地 址 的 TP. 分 组 ,经 过 IP Sec 安全 关联 传输 
时 ,封装 成 障 道 模式 下 的 ESP 报 文 ,该 ESP 报 文 封装 成 以 两 个 ASA5505 分 别 连接 互联 
网 的 一 端的 全 球 IP 地 址 为 源 和 目的 TP 地 址 的 卫 分 组 。 








192.168.2.0/24 




















= ASA 5505-1 ASA 5505-2 





终端 B ASA5505-1 路 由 表 ASA5505-2 路 由 表 终端 D 
目的 网 络 。 输出 接口 下 一 跳 目的 网 络 。 输出 接口 下 一 跳 
192.168.1.024 — 1 直接 192.168.2.0/24 — 2 直接 
192.1.1.024 2 直接 192.1.2.0/24 1 直接 
1921682004 2 192.12.1 192.168.1.024 1 — 1921.1 
192.1.2.1/32 2 1941112 192.1.1.1/32 1 1941122 

















图 7.14 ASASS0S IP Sec VPN 实现 过 程 


7.3.2 实验 目的 


(1) 验证 IP Sec VPN 工作 过 程 。 
(2) 验证 ASA5505 IP Sec VPN 配置 过 程 。 
(3) 了 解 IOS 路 由 器 和 ASA5505 实现 IP Sec VPN 的 区 别 。 


7.3.3 实现 原理 


IP Sec 安全 关联 的 两 端 分 别 是 两 个 ASA5505 连接 互联 网 的 接口 , 且 IP. Sec 安全 关 
联 工作 在 隧道 模式 。 对 于 ASA5505-1, 通 往 目的 网 络 192. 168. 2. 0/24 的 传输 路 径 上 的 
下 一 跳 是 ASA5505-1 至 ASA5505-2 的 IP Sec 安全 关联 的 另 一 端 。 同 样 ,对 于 ASA5505-2， 
通 往 目 的 网 络 192. 168. 1. 0/24 的 传输 路 径 上 的 下 一 跳 是 ASA5505-2 至 ASA5505-2 的 
IP Sec 安全 关联 的 另 一 端 。 当 ASA5505-1 通过 连接 内 部 网 络 的 接口 接收 到 终端 A 发 送 
给 终端 C 的 IP 分 组 时 ,由 于 该 全 分 组 的 目的 全 地 址 属于 192.168.2.0/24, 因 此 ,下 一 
跳 是 ASA5505-2 连接 互联 网 的 接口 。 由 于 ASA5505-1 至 ASA5505-2 的 IP Sec 安全 关 
联 的 另 一 端 是 ASA5505-2 连接 互联 网 的 接口 , 且 IP Sec 安全 关联 工作 在 隧道 模式 ,该 了 
分 组 封装 成 隧道 格式 的 ESP 报 文 , 外 层 卫 首部 的 源 IP 地 址 是 ASA5505-1 连接 互联 网 的 
接口 的 全 球 IP 地 址 192.1.1.1, 目 的 卫 地 址 是 ASA5505-2 连接 互联 网 的 接口 的 全 球 IP 
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地 址 192. 1.2. 1. 


通过 互联 网 完成 障 道 格 式 的 ESP di X ASA5505-1 至 ASA5505-2 的 传输 过 程 ， 
ASA5505-2 从 隧道 格式 的 ESP 报 文中 分 离 出 内 层 TP 分 组 , 即 以 终端 A 私有 IP 地 址 为 源 
JP 地 址 ,终端 C 私 有 IP 地 址 为 目的 IP 地 址 的 IP 分 组 ,将 该 内 层 IP 分 组 转发 给 终端 C， 
完成 内 层 IP 分 组 终端 A 至 终端 C 的 传输 过 程 。 

与 IP Sec 安全 关联 相关 的 配置 信息 可 以 分 为 三 部 分 : 一 是 与 建立 安全 传输 通道 相关 
的 配置 信息 ,安全 传输 通道 也 称 为 IKE 安全 关联 ;二 是 与 建立 IP Sec 安全 关联 相关 的 配 
置信 息 ; 三 是 分 类 经 过 IP Sec 安全 关联 传输 的 IP. 分 组 的 分 组 过 滤器 。 


7.3.4 关键 命令 说 明 


1. 撤销 已 有 DHO 配置 
以 下 命令 序列 用 于 撤销 ASA5505 中 已 经 完成 的 与 DHCP 有 关 的 配置 。 撤 销 这些 命 
令 的 目的 是 为 了 可 以 给 ASA5505 的 接口 配置 任意 TP 地 址 。 





ciscoasa (config)#no dhcpd address 192.168.1.5-192.168.1.35 inside 
ciscoasa (config)#no dhcpd enable inside 


ciscoasa (config)#no dhcpd auto config outside 


dhepd address 192. 168. 1. 5-192. 168. 1. 35 inside 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作 
用 有 两 个 : 一 是 定义 IP 地 址 池 ,IP 地 址 池 中 的 全 地 址 范围 是 192. 168. 1. 5— 192. 168. 1.35; 
二 是 将 该 全 地址 池 分 配给 名 为 inside 的 接口 。 该 命令 前 加 no, 作 用 是 撤销 该 命令 。 

dhcpd enable inside 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 在 名 为 inside 的 接口 
启动 DHCP 服务 器 。 一 旦 在 名 为 inside 的 接口 启动 DHCP 服务 器 , 则 该 接口 的 IP 地 址 
必须 与 DHCP 服务 器 中 定义 的 IP 地址 池 有 着 相同 的 网 络 地 址 。 该 命令 前 加 no, 作 用 是 
撤销 该 命令 。 

dhcpd auto. config outside 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 指定 以 下 获取 
DNS 服务 器 地 址 等 网 络 信息 的 方式 : 以 名 为 outside 的 接口 为 DHCP 客户 端 ,从 名 为 
outside 的 接口 所 连接 的 外 网 中 的 DHCP 服务 器 获取 DNS 服务 器 地 址 等 网 络 信息 。 该 
命令 前 加 no ,作用 是 撤销 该 命令 。 

2. 定义 VLAN 接口 

ASA5505 在 默认 情况 下 已 经 定义 了 两 个 VLAN ,分 别 是 VLAN 1 和 VLAN 2, 并 将 
端口 Ethernet0/0 分 配给 VLAN 2, 其 他 端口 分 配给 VLAN 1。 以 下 命令 序列 用 于 定义 
VLAN 1 对 应 的 接口 。 


ciscoasa (config)#interface vlan 1 

ciscoasa (config-if)#nameif inside 

ciscoasa (config-if)#security-level 100 

ciscoasa (config-if)fip address 192.168.1.254 255.255.255.0 


ciscoasa (config-if)fexit 


interface vlan 1 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 进入 VLAN 1 对 应 的 接 
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口 配置 模式 。 

nameif inside 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 将 VLAN 1 对 应 的 接 
口 取 名 为 inside。 在 以 后 的 配置 命令 中 ,通常 用 接口 名 指定 接口 。 

security-level 100 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 指定 接口 的 安全 
级 别 , 安 全 级 别 范围 是 0~100, 其 中 0 是 最 低 安全 级 别 ,100 是 最 高 安全 级 别 。ASA5505 
只 允许 全 分 组 从 高 安全 级 别 的 接口 流向 低 安全 级 别 的 接口 。 如 果 需 要 IP 分 组 从 低 安全 
级 别 的 接口 流向 高 安全 级 别 的 接口 , 则 必须 通过 扩展 分 组 过 滤器 指定 允许 从 低 安全 级 别 
的 接口 流向 高 安全 级 别 的 接口 的 IP 分 组 的 类 别 。 

ip address 192. 168. 1. 254 255. 255. 255. 0 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 
作用 是 为 接口 分 配 IP 地 址 和 子 网 掩 码 , 其 中 192. 168. 1. 254 是 接口 的 卫 地 址 ,255. 255. 
255.0 是 接口 的 子 网 掩 码 。 

3. 配置 扩展 分 组 过 滤器 和 作用 接口 

以 下 命令 序列 用 于 指定 允许 从 低 安全 级 别 接口 流向 高 安全 级 别 接口 的 TP. 分 组 类 别 。 


ciscoasa (config)faccess-list b-a extended permit icmp 192.168.2.0 255.255. 
255.0 192,768.1.0/255.255.255.0 


ciscoasa (config)faccess-group b-a out interface inside 


access-list b-a extended permit icmp 192. 168. 2. 0 255. 255. 255. 0 192. 168. 1. 0 255. 
255. 255. 0 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 指定 一 条 属于 名 为 b-a 的 扩展 分 
组 过 滤器 的 规则 。 该 规则 允许 源 IP 地 址 属于 CIDR 地 址 块 192. 168. 2. 0/24 ,目的 IP 地 
址 属于 CIDR 地 址 块 192. 168. 1. 0/24, 净 荷 是 ICMP 报 文 的 IP 分 组 通过 。 这 种 类 型 的 
IP 分 组 是 封装 内 部 网 络 192. 168. 2. 0/24 传输 给 内 部 网 络 192. 168. 1. 0/24 的 ICMP 报 
文 后 生成 的 IP 分 组 ,由 于 ASA5505 不 允许 IP 分 组 从 低 安全 级 别 的 接口 流向 高 安全 级 别 
的 接口 ,因此 ,需要 通过 名 为 b-a 的 扩展 分 组 过 滤器 指定 允许 从 低 安全 级 别 的 outside 接 
口 流向 高 安全 级 别 的 inside 接口 的 IP 分 组 的 类 型 。 

access-group b-a out interface inside 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 将 
名 为 bra 的 扩展 分 组 过 滤器 作用 于 名 为 inside 的 接口 的 输出 方向 , 即 允 许 名 为 b-a 的 扩展 
分 组 过 滤器 正常 转发 的 IP 分 组 从 名 为 outside 的 接口 输入 ,从 名 为 inside 的 接口 输出 。 

4. 配置 加 密 映 射 

配置 加 密 映射 的 过 程 是 指定 建立 IP Sec 安全 关联 时 使 用 的 加 密 算法 和 鉴别 算法 , 指 
定 需要 经 过 该 IP Sec 安全 关联 传输 的 IP 分 组 类 型 的 过 程 。 程 序 代 码 如 下 : 





ciscoasa (config)faccess-list a-b extended permit icmp 192.168.1.0 255.255. 
255.0 192.168.2.0 255.255.255.0 

ciscoasa (config)fcrypto ipsec ikevl transform-set 121 esp-aes esp- sha- hmac 
ciscoasa (config)fcrypto map a-b 1 match address a-b 

ciscoasa (config)fcrypto map a-b 1 set peer 192.1.2.1 

ciscoasa (config) # crypto map a-b 1 set security - association lifetime 
seconds 86400 


ciscoasa (config)#crypto map a-b 1 set ikevl transform-set 121 
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ciscoasa (config)fcrypto map a-b interface outside 


crypto ipsec ikevl transform-set 121 esp-aes esp-sha-hmac 是 全 局 模式 下 使 用 的 命 
令 , 该 命令 的 作用 是 创建 名 为 121 的 变换 集 。 该 变换 集 指 定 以 下 信息 : 由 IKEv1 完成 IP 
Sec 安全 关联 建立 过 程 ;建立 IP Sec 安全 关联 时 使 用 的 安全 协议 是 ESP, 加 密 算 法 是 
AES, 鉴 别 算法 是 SHA-HAMC。 

crypto map a-b 1 match address a-b 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 指定 
名 为 a-b 的 扩展 分 组 过 滤器 正常 转发 的 IP 分 组 是 需要 经 过 该 IP Sec 安全 关联 传输 的 了 
分 组 。 关 键 字 map 后 的 a-b 是 加 密 映射 名 ,1 是 序号 。 与 同一 IP Sec 安全 关联 相关 的 配 
置信 息 需 要 有 着 相同 的 加 密 映 射 名 和 序号 。 关 键 字 address 后 的 ab 是 扩展 分 组 过 滤 
器 名 。 

crypto map a-b 1 set peer 192.1. 2. 1 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 指 
定 192.1.2. 18 IP Sec 安全 关联 男 一 端的 全 地 址 。 

crypto map a-b 1 set security-association lifetime seconds 86400 是 全 局 模式 下 使 用 
的 命令 ,该 命令 的 作用 是 指定 86400 秒 为 该 IP Sec 安全 关联 的 存活 时 间 , 即 每 经 过 86400 
秒 , 需 要 重新 建立 该 IP Sec 安全 关联 。 

crypto map a-b 1 set ikevl transform-set 121 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作 
用 是 指定 以 下 信息 ,一 是 由 IKEv1 完成 该 IP Sec 安全 关联 建立 过 程 。 二 是 由 名 为 121 的 
变换 集 指 定 的 安全 协议 .加 密 算法 和 鉴别 算法 作为 建立 该 IP Sec 安全 关联 时 使 用 的 安全 
协议 .加 密 算法 和 鉴别 算法 。 

crypto map a-b interface outside 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 将 名 为 
a-b 的 加 密 映射 作用 到 名 为 outside 的 接口 。 由 名 为 outside 的 接口 发 起 建立 该 IP Sec 安 
全 关联 ,建立 该 IP Sec 安全 关联 时 ,使 用 名 为 a-b 的 加 密 映 射 中 配置 的 信息 。 

5. 配置 IKEvl 策略 

建立 IP Sec 安全 关联 的 过 程 分 为 两 步 : 第 一 步 是 建立 安全 传输 通道 。 如 果 由 IKEVI 
完成 建立 安全 关联 的 过 程 , 则 建立 安全 传输 通道 的 过 程 也 称 为 建立 IKEv1 安全 关联 的 过 
程 ; 第 二 步 是 建立 IP See 安全 关联 。 配 置 IKEvl 策略 过 程 就 是 配置 与 建立 安全 传输 通道 
相关 信息 的 过 程 。 命 令 序列 如 下 : 














ciscoasa (config)fcrypto ikevl policy 1 

ciscoasa (config-ikevl-policy)fencryption aes 

ciscoasa (config-ikevl-policy)fhash md5 

ciscoasa (config-ikevl-policy)flifetime 86400 

ciscoasa (config-ikevl-policy)fauthentication pre-share 
ciscoasa (config-ikevl-policy)fgroup 2 

ciscoasa (config-ikevl-policy)fexit 


ciscoasa (config)fcrypto ikevl enable outside 


crypto ikevl policy 1 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 进入 IKEv1 策略 配 
置 模式 。 可 以 配置 多 个 不 同 的 IKEv1 策略 ,通过 不 同 的 优先 级 区 分 这 些 不 同 的 策略 , 优 
先 级 的 范围 是 1~65535,1 是 最 高 优先 级 。 这 里 配置 的 是 优先 级 为 1 的 IKEV 策略 。 
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encryption aes 是 IKEv1 策略 配置 模式 下 使 用 的 命令 , (config-ikevl-policy) 并 是 
IKEv1 策略 配置 模式 下 的 命令 提示 符 。 该 命令 的 作用 是 指定 AES 为 安全 传输 通道 使 用 
的 加 密 算法 。 

hash md5 是 IKEv1 策略 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 指定 MD5 为 安全 
传输 通道 使 用 的 报 文摘 要 算法 。 

lifetime 86400 是 IKEv1 策略 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 指定 86400 秒 
为 重新 交换 密 钥 的 间隔 , 即 每 经 过 86400 秒 , 隧 道 两 端 需 要 重新 通过 Diffie-Hellman 941 
交换 算法 同步 密 钥 。 

authentication pre-share 是 IKEv1 策略 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 指 
定 共享 密 钥 鉴别 机 制 为 建立 安全 传输 通道 时 用 于 完成 双向 身份 鉴别 的 鉴别 机 制 。 

group 2 是 IKEv1 策略 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 指定 Diffie-Hellman 
组 标识 符 2, 即 建立 安全 传输 通道 时 ,隧道 两 端 通过 Diffie-Hellman 密 钥 交换 算法 同步 密 
钥 ,并 使 用 组 标识 符 2 对 应 的 参数 。 

crypto ikevl enable outside 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 在 名 为 
outside 的 接口 上 启动 IKEv1, 

6. 配置 隧道 

以 下 命令 序列 用 于 配置 隧道 安全 属性 和 隧道 类 型 。 

















ciscoasa (config)#tunnel- group 192.1.2.1 type ipsec-121 
ciscoasa (config)ftunnel-group 192.1.2.1 ipsec-attributes 
ciscoasa (config-tunnel-ipsec)fikevl pre-shared-key 1234 


ciscoasa (config-tunnel-ipsec)fexit 


tunnel-group 192. 1. 2. 1 type ipsec-121 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 有 两 
个 ; 一 是 通过 隧道 另 一 端的 TP 地 址 唯一 标识 该 隧道 ,并 将 该 隧道 与 某 个 IP Sec 安全 关联 
绑 定 在 一 起 ;二 是 指定 隧道 类 型 是 点 对 点 IP 隧道 。192. 1. 2. 1 是 隧道 另 一 端的 TP 地址， 
ipsec-121 是 隧道 类 型 。121 是 LAN-to-LAN 的 缩写 ,表明 隧道 类 型 是 点 对 点 IP piii 

tunnel-group 192. 1. 2. 1 ipsec-attributes 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 
进入 隧道 安全 属性 配置 模式 ,同样 通过 隧道 另 一 端的 TP. 地 址 唯一 标识 该 隧道 。 

ikevl pre-shared-key 1234 是 隧道 安全 属性 配置 模式 下 使 用 的 命令 , (config-tunnel- 
ipsec) # 是 隧道 安全 属性 配置 模式 下 的 命令 提示 符 。 该 命令 的 作用 是 指定 1234 为 共享 
密 钥 , 即 建立 安全 传输 通道 时 ,双方 用 共享 密 钥 1234 鉴别 对 方 身份 。 

7. 配置 静态 路 由 项 

以 下 命令 序列 用 于 完成 静态 路 由 项 的 配置 过 程 。 


ciscoasa (config)froute outside 192.168.2.0 255.255.255.0 192.1.2.1 
ciscoasa (config)froute outside 192.1.2.1 255.255.255.255 192.1.1.2 


route outside 192, 168. 2. 0 255. 255. 255. 0 192. 1. 2. 1 是 全 局 模式 下 使 用 的 命令 ,该 


命令 的 作用 是 配置 一 项 静态 路 由 项 。 其 中 outside 是 输出 接口 名 ,192. 168. 2. 0 和 
255. 255. 255. 0 是 目的 网 络 的 网 络 地 址 和 子 网 掩 码 。192. 1. 2. 1 是 下 一 跳 全 地 址 。 该 项 路 由 
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项 表明 , 通 往 目 的 网 络 192. 168. 2. 0/24 的 传输 路 径 上 的 下 一 跳 是 点 对 点 IP 隧道 的 另 一 端 。 

命令 route outside 192.1.2.1 255. 255. 255. 255 192. 1. 1. 2 用 于 配置 一 项 静态 路 由 
项 ,该 路 由 项 给 出 通 往 隧道 男 一 端的 传输 路 径 , 目 的 网 络 192. 1. 2. 1/32 是 隧道 另 一 端的 
IP 地址 ,192.1.1.2 是 互联 网 中 通 往 隧道 男 一 端的 传输 路 径 上 的 下 一 跳 地 址 。 

8. 查看 已 经 建立 的 IP Sec 安全 关联 

以 下 命令 用 于 查看 已 经 建立 的 IP Sec 安全 关联 。 





ciscoasafshow crypto ipsec sa 

show crypto ipsec sa 是 特权 模式 下 使 用 的 命令 ,该 命令 的 作用 是 显示 与 已 经 建立 的 
IP Sec 安全 关联 相关 的 信息 。 
735 实验 步骤 


COD 根据 如 图 7. 14 所 示 的 网 络 结构 放置 和 连接 设备 ,完成 设备 放置 和 连接 后 的 逮 辑 
工作 区 界面 如 图 7. 15 所 示 。 用 三 层 交 换 机 Multilayer-Switch 仿真 互联 网 ,用 两 个 IP 
接口 分 别 连 接 如 图 7. 14 所 示 的 两 个 ASA5505 连接 互联 网 的 接口 。 
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图 7.15 完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 


(2) 在 三 层 交换 机 Multilayer-Switch0 中 创建 VLAN 2 和 VLAN 3, 分 别 定 义 
VLAN 2 fll VLAN 3 对 应 的 IP 接口 ,为 这 两 个 IP 接口 分 别 分 配 IP 地 址 192. 1. 1. 2 和 
1923,22. 

(3) 完成 各 个 终端 网 络 信息 配置 过 程 。 

(4) 在 CLI( 命 令 行 接口 ) 配 置 方式 下 ,完成 两 个 ASA5505 的 配置 过 程 ,分 别 输入 第 
7.3.6 节 中 给 出 的 针对 ASA0 和 ASA1 的 命令 序列 。 

(5) 启动 PCO 至 PC2 的 ICMP 报 文 传输 过 程 , PCO 至 ASAO 的 全 分 组 格式 如 图 7. 16 
所 示 ,ICMP 报 文 封装 成 以 PC0 的 私有 IP 地 址 192. 168. 1. 1 为 源 IP 地 址 .PC2 的 私有 了 
地 址 192. 168. 2.1 为 目的 IP 地址 的 卫 分 组 。ASAO 至 ASAT 的 封装 过 程 如 图 7.17 所 
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图 7.17 ASA0 € ASAI 的 封装 过 程 
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示 , 以 ICMP 报 文 为 净 荷 的 内 层 TP. 分 组 封装 成 ESP 报 文 ,以 ESP 报 文 为 净 荷 的 外 层 IP 分 
组 的 源 全 地址 是 ASA0 连接 三 层 交换 机 Multilayer-Switch0 的 接口 的 全 地 址 192.1.1.1, 目 


的 JP 地址 是 ASA1 


连接 三 层 交 换 机 Multilayer-Switcho 的 接口 的 他 地 址 192. 1.2. 1, 


(6) 查看 ASAO 中 与 已 经 建立 的 TP. Sec 安全 关联 有 关 的 信息 ,显示 的 与 已 经 建立 的 


IP Sec 安全 关联 有 关 的 信息 如 图 7. 18 所 示 。 





Physical. [.confg.| Cii | 











ASA Command Line Interface 


Ciscoasafshow crypto ipsec sa 


interface: outside 
Crypto map tag: a-b, seq num: 1, local addr 192.1.1.1 


permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 
local ident (addr/mask/prot/port]: [192.168.1 -255.285.0/1/0) 
remote ident (addr/mask/prot/port): (192.168.2.0/288.288.285.0/1/0) 
current peer 192.1.2.1 

fpkts encaps: 9, $pkts encrypt: 9, fpkts digest: 0 


fpkts decaps: 7, fpkts decrypt: 7, fpkts verify: 0 
fpkts compressed: 0, fpkts decompressed: 0 
fpkts not compressed: 0, fpkts comp failed: 0, fpkts decomp failed: 0 
fpre-frag successes: 0, Spre-frag failures: 0, $fragnents ci o 
$PMTUs sent: 0, $PMIUs rcvd: 0, $decapsulated frgs needing enbly 
$send errors 1, $recv errors 0 
local crypto endpt.: 192.1.1.1/0, remote crypto endpt.:192.1.2.1/0 
path mtu 1500, ip mtu, ipsec overhead 78, media mtu 1500 
Current outbound spi: 0x13652411(325395473) 
Current inbound spi: 0x04BB3AEB (325395473) 
inbound esp sas 
spi: OxO4883AEB (75379179) 

transform: esp-aes esp-sha-hmac no compression 

in use settings ={L2L, Tunnel, } 

slot: 0, conn id: 2003, crypto map: a-b 

sa timing: remaining key lifetime (k/sec): (4525504/84825) 


0x00000000 0x0000001F 
outbound esp sas 
spi: 0x13652411/325395473) 
transform: esp-aes esp-sha-hmac no compression 
rr Em] 


7.18. ASA0 显示 的 与 IP Sec 安全 关联 有 关 的 信息 


736 命令 行 接口 配置 过 程 


1. Multilayer-Switchü 命令 行 接 口 配置 过 程 
命令 序列 如 下 : 


Switch>enable 

Switch#configure terminal 

Switch (config)#vlan 2 

Switch (config-vlan)#name v2 
Switch(config-vlan)fexit 

Switch (config)fvlan3 
Switch(config-vlan)fname v3 
Switch(config-vlan)fexit 
Switch(config)finterface FastEthernet0/1 


Switch(config-if)fswitchport mode access 
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Switch (config-if)#switchport access vlan 2 
Switch(config-if)fexit 

Switch(config)finterface FastEthernet0/2 
Switch(config-if)fswitchport mode access 
Switch(config-if)fswitchport access vlan 3 
Switch(config-if)fexit 

Switch(config)finterface vlan 2 
Switch(config-if)fip address 192.1.1.2 255.255.255.0 
Switch(config-if)fexit 

Switch(config)finterface vlan 3 

Switch (config-if)#ip address 192.1.2.2 255.255.255.0 
Switch(config-if)fexit 

Switch(config)fip routing 


2. ASA0 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


ciscoasa»enable 

Password: 

ciscoasafconfigure terminal 

ciscoasa (config)#no dhcpd address 192.168.1.5-192.168.1.35 inside 

ciscoasa (config) fno dhcpd enable inside 

ciscoasa (config)#no dhcpd auto config outside 

ciscoasa (config)finterface vlan 1 

ciscoasa (config-if)$nameif inside 

ciscoasa (config-if)fsecurity-level 100 

ciscoasa (config-if)fip address 192.168.1.254 255.255.255.0 

ciscoasa (config-if)fexit 

ciscoasa (config)finterface vlan 2 

ciscoasa (config-if)$nameif outside 

ciscoasa (config-if)fsecurity-level 0 

ciscoasa (config-if)fip address 192.1.1.1 255.255.255.0 

ciscoasa (config-if)fexit 

ciscoasa (config)faccess-list b-a extended permit icmp 192.168.2.0 255.255. 
255.0 192.168.1.0 255.255.255.0 

ciscoasa (config) #access-group b-a out interface inside 

ciscoasa (config)faccess- list a-b extended permit icmp 192.168.1.0 255.255. 
255.0 192,168.2:0 255.255,255.0 

ciscoasa (config)#crypto ipsec ikevl transform-set 121 esp-aes esp- sha- hmac 
ciscoasa (config)fcrypto map a-b 1 match address a-b 

ciscoasa (config)fcrypto map a-b 1 set peer 192.1.2.1 

ciscoasa (config) # crypto map a- b 1 set security - association lifetime 
seconds 86400 

ciscoasa (config)fcrypto map a-b 1 set ikevl transform-set 121 


ciscoasa (config)#crypto map a-b interface outside 
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ciscoasa (config)#crypto ikevl policy 1 

ciscoasa (config-ikevl-policy)fencryption aes 

ciscoasa (config-ikevl-policy) hash md5 

ciscoasa (config-ikevl-policy)flifetime 86400 

ciscoasa (config-ikevl-policy)fauthentication pre-share 

ciscoasa (config-ikevl-policy)fgroup 2 

ciscoasa (config-ikevl-policy)fexit 

ciscoasa (config)fcrypto ikevl enable outside 

ciscoasa (config)ftunnel-group 192.1.2.1 type ipsec-121 

ciscoasa (config)ftunnel-group 192.1.2.1 ipsec-attributes 
ciscoasa (config-tunnel-ipsec)fikevl pre-shared-key 1234 

ciscoasa (config-tunnel-ipsec)fexit 

ciscoasa (config)#route outside 192.168.2.0 255.255.255.0 192.1.2.1 
ciscoasa (config)#route outside 192.1.2.1 255.255.255.255 192.1.1.2 


iE: 进入 特权 模式 的 默认 口令 是 Enter。 
3. ASAL 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


ciscoasa»enable 

Password: 

ciscoasafconfigure terminal 

ciscoasa (config)#no dhcpd address 192.168.1.5-192.168.1.35 inside 

ciscoasa (config)#no dhcpd enable inside 

ciscoasa (config)#no dhcpd auto config outside 

ciscoasa (config)finterface vlan 1 

ciscoasa (config-if)$nameif inside 

ciscoasa (config-if)fsecurity-level 100 

ciscoasa (config-if)fip address 192.168.2.254 255.255.255.0 

ciscoasa (config-if)fexit 

ciscoasa (config)finterface vlan 2 

ciscoasa (config-if)$nameif outside 

ciscoasa (config-if)fsecurity-level 0 

ciscoasa (config-if)fip address 192.1.2.1 255.255.255.0 

ciscoasa (config-if)fexit 

ciscoasa (config)faccess-list a-b extended permit icmp 192.168.1.0 255.255. 
255.0 192.168.2.0 255.255.255.0 

ciscoasa (config) #access-group a-b out interface inside 

ciscoasa (config)faccess-list b-a extended permit icmp 192.168.2.0 255.255. 
255.0 192.168.1.0 255.255.255.0 

ciscoasa (config) #crypto ipsec ikevl transform-set 121 esp-aes esp- sha- hmac 
ciscoasa (config) #crypto map b-a 1 match address b-a 

ciscoasa (config) #crypto map b-a 1 set peer 192.1.1.1 

ciscoasa (config) # crypto map b-a 1 set security - association lifetime 
seconds 86400 
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ciscoasa (config)fcrypto map b-a 1 set ikevl transform-set 121 
ciscoasa (config)fcrypto map b-a interface outside 

ciscoasa (config)fcrypto ikevl policy 1 

ciscoasa (config-ikevl-policy)fencryption aes 

ciscoasa (config-ikevl-policy) hash md5 


ciscoasa (config-ikevl-policy)flifetime 86400 


ciscoasa (config-ikevl-policy)fauthentication pre-share 


ciscoasa (config-ikevl-policy)fgroup 2 


ciscoasa (config-ikevl-policy)fexit 


ciscoasa (config)fcrypto ikevl enable outside 


ciscoasa (config)ftunnel-group 192.1.1.1 type ipsec-121 


ciscoasa (config)ftunnel-group 192.1.1.1 ipsec-attributes 


ciscoasa (config-tunnel-ipsec)fikevl pre-shared-key 1234 


ciscoasa (config-tunnel-ipsec)fexit 
ciscoasa (config)froute outside 192.168.1.0 255.255.255.0 192.1.1.1 
ciscoasa (config)froute outside 192.1.1.1 255.255.255.255 192.1.2.2 


4. 命令 列表 


ASA5505 命令 行 接口 配置 过 程 中 使 用 的 命令 及 功能 和 参数 说 明 如 表 7. 3 所 示 。 


命令 格式 


dhepd address IP_addressl[ -IP_ 


address] inter face name 


dhepd enable inter face 


dhepd auto config client if _ 
name 


nameif name 


表 7.3 命令 列表 
功能 和 参数 说 明 


H DHCP 服务 器 指定 IP 地 址 池 , 参 数 IP_addressl 是 起 始 1P 地 
址 ,参数 IP_address2 是 结束 IP 地 址 。 参 数 interface_name 指定 
分 配 该 IP 地 址 池 的 接口 。 一 旦 为 某 个 接口 分 配 TP 地 址 池 , 则 该 
接口 的 一 地 址 必须 与 地 址 池 中 的 IP 地 址 有 着 相同 的 网 络 号 


在 指定 接口 上 启动 DHCP 服务 器 。 参 数 interface 是 接口 名 


以 由 参数 client_if_name 指定 的 接口 为 DHCP 客户 端 ,从 该 接口 
所 连接 的 外 网 中 的 DHCP 服务 器 获取 DNS 服务 器 地 址 等 网 络 
信息 


为 接口 取 名 ,参数 name 是 接口 的 名 字 





security-level number 


为 接口 分 配 安全 级 别 , 参 数 number 是 安全 级 别 , 取 值 范围 是 0 一 
100, JEP 0 是 最 低 安全 级 别 ,100 是 最 高 安全 级 别 





access-list access list. name 
extended (deny | permit) ICMP 
source address argument dest _ 


address argument 


定义 一 条 属于 扩展 分 组 过 滤器 的 规则 。 参 数 access List. name 是 
扩展 分 组 过 滤器 名 。 参 数 source address argument 指定 源 1P 地 
Jb. SU dest address argument 指定 目的 IP 地 址 。permit 表示 
正常 转发 ,deny 表示 丢弃 





access-group access list (in | out) 
interface inter face name 


将 扩展 分 组 过 滤器 作用 到 指定 接口 的 输入 或 输出 方向 。 参 数 
access List 是 扩展 分 组 过 滤器 名 ,参数 inter face. name 是 接口 名 ， 
in 表示 输入 方向 ,out 表示 输出 方向 





route interface name ip address 


netmask gateway ip 





定义 一 项 静态 路 由 项 ,参数 interface_name 指定 输出 接口 ,参数 ip 
_address 指定 目的 网 络 的 网 络 地 址 ,参数 netmask 指定 目的 网 络 
的 子 网 掩 码 ,参数 gateway_ip 指定 下 一 跳 IP 地 址 
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续 表 
功能 和 参数 说 明 





crypto ipsec ikevl transform-set 
transfornrset-name encryption 


[authentication] 


创建 变换 集 ,变换 集中 指定 安全 协议 ,安全 协议 相关 的 加 密 算法 和 
鉴别 算法 。 参数 transfornrset-name 是 变换 集 名 字 , 参数 
encryption 是 与 安全 协议 相关 的 加 密 算法 ,参数 authentication 是 
与 安全 协议 相关 的 鉴别 算法 





crypto map maprname seq-num 
match address ac/. name 


将 加 密 映 射 与 某 个 扩展 分 组 过 滤器 绑 定 在 一 起 ,表示 该 扩展 分 组 
过 滤器 正常 转发 的 全 分 组 集 是 需要 经 过 由 该 加 密 映射 创建 的 TP 
Sec 安全 关联 传输 的 IP 分 组 类 型 。 参数 maprname 是 加 密 映射 
名 ,参数 seqnum 是 序号 ,参数 acl_name 是 扩展 分 组 过 滤器 名 





crypto map mapname seq-num 
set peer (ip address | hostname) 


crypto map maprname seq-num 
set security-association lifetime 
seconds seconds 


crypto map mapname seq-num 
set ikevl transformrset (rans form- 


set-name 


crypto map maprname interface 
inter facezname 


crypto ikev] enable inter face-name 


crypto ikevl policy priority 


指定 由 该 加 密 映 射 创建 的 IP Sec 安全 关联 的 另 一 端 。 参 数 map 
name 是 加 密 映 射 名 ,参数 seqnum 是 序号 ,参数 ip_address 是 另 
一 端的 地址 。 参 数 hostname 是 另 一 端的 主机 名 。 使 用 主机 名 
的 前 提 是 可 以 将 主机 名 解析 成 IP 地 址 


指定 由 该 加 密 映 射 创建 的 IP Sec 安全 关联 的 存活 时 间 , 一 旦 超过 
了 存活 时 间 , 需 要 重新 建立 IP See 安全 关联 。 参 数 mapname 是 
加 密 映 射 名 ,参数 seqnum 是 序号 ,参数 seconds 是 以 秒 为 单位 的 
存活 时 间 

将 加 密 映射 与 某 个 变换 集 绑 定 在 一 起 ,由 该 加 密 映 射 创建 的 TP 
Sec 安全 关联 使 用 该 变换 集 指定 的 安全 协议 ,与 安全 协议 相关 的 加 
密 算法 和 鉴别 算法 。 参 数 mapr-name 是 加 密 映射 名 ,参数 seq-num 
是 序号 ,参数 trans formeset-name 是 变换 集 名 


将 某 个 加 密 映 射 作用 到 指定 接口 。 参 数 maprname 是 加 密 映 身 
名 ,参数 inter facename 是 接口 名 


在 指定 接口 上 启动 IKEv1。 参 数 inter face-name 是 接口 名 


创建 IKEv1 策略 ,进入 IKEV] 策略 配置 模式 。 参数 priority ER 
略 优先 级 。 优 先 级 取 值 范围 是 1~65535,1 是 最 高 优先 级 





encryption [ des | 3des | aes | aes- 
192 | aes-256 | aes-gem | aes- 
gcm-192 | aes-gcm-256 | null ] 


指定 安全 传输 通道 使 用 的 加 密 算法 。 安 全 传输 通道 也 称 IKEvI E 
全 关联 





authentication pre-share 





建立 安全 传输 通道 时 ,双方 采用 共享 密 钥 鉴别 机 制 鉴 别 对 方 身份 





group (1 |2|5)} 


指定 Diffie-Hellman 组 标识 符 





lifetime seconds 


指定 安全 传输 通道 的 存活 时 间 ,一 旦 超过 了 存活 时 间 ,隧道 两 端 需 
要 重新 通过 Diffie-Hellman 密 钥 交 换算 法 同步 密 钥 。 参 数 seconds 
是 以 秒 为 单位 的 存活 时 间 





tunnel-group name type ty pe 





指定 隧道 组 的 类 型 ,如 果 以 全 地 址 为 隧道 名 ,该 隧道 类 型 作用 于 以 
该 下 地 址 为 男 一 端 地 址 的 IP Sec 安全 关联 。 参 数 name 是 隧道 名 ， 
参数 type 是 隧道 类 型 ,类 型 可 以 是 ipsec-121, 表 示 该 隧道 是 点 对 点 
全 隧 道 ,也 可 以 是 remote-access, 表 示 该 隧道 是 远程 接 入 隧道 


网 络 安 全 实验 教程 


续 表 


命令 格式 功能 和 参数 说 明 


为 某 个 隧道 组 配置 安全 属性 ,进入 隧道 安全 属性 配置 模式 。 参 数 
name 是 隧道 名 ,同样 ,如 果 以 IP. 地 址 为 隧道 名 ,该 隧道 作用 于 以 
该 耳 地址 为 另 一 端 地 址 的 IP Sec 安全 关联 

配置 共享 密 钥 ,参数 key 是 共享 密 钥 ,建立 安全 传输 通道 时 ,双方 
用 该 共享 密 钥 鉴别 对 方 身份 

ik: 粗 体 是 命令 关键 字 ,斜体 是 命令 参数 。 





tunnel-group name ipsec-attributes 








ikevl pre-shared-key key 





7.4 Cisco Easy VPN 实验 


741 实验 内 容 


VPN 接 入 网 络 的 过 程 如 图 7. 19 所 示 
络 中 的 终端 一 样 访问 内 部 网 络 中 的 资源 。 


，Internet 中 的 终端 C 和 终端 D 能 够 像 内 部 网 

















RI1 路 由 表 R3 路 由 表 

目的 网 络 。 输出 接口 ”下 一 跳 目的 网 络 。 输出 接口 ”下 一 跳 
192.168.1.0/24 1 直接 192.1.1.0/24 1 直接 
192.168.2.0/24 2 直接 192.1.2.0/24 2 直接 
192.168.3.0/24 3 直接 192.1.3.0/24 3 直接 
192.168.4.0/24 3 — 19216832 

,AAA 服务 器 E. 192.168.1024 > x x 

^^ 192.168.1.1 
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目的 网 络 。 输出 接口 ”下 一 跳 
192.168.1.024 1 192.168.3.1 
192.168.2.024 1 192.168.3.1 
92.168.3.0/24 1 直接 
192. 2 192.1.3.2 
192.1.2.0/24 2 192.1.3.2 
192.1.3.0/24 2 直接 











图 7.19 VPN 接 入 过 程 


如 果 不 采用 VPN 接 入 技术 , 则 在 图 7. 19 所 示 的 实现 内 部 网 络 与 Internet 互 连 的 网 
络 结构 中 ,Internet 中 的 终端 是 不 能 访问 内 部 网 络 的 ,除非 在 互 连 内 部 网 络 和 Internet 的 
边界 路 由 器 (图 7. 19 中 的 路 由 器 R2) 上 配置 静态 地 址 转换 项 。 如 果 Internet 中 的 终端 需 
要 像 内 部 网 络 中 的 终端 一 样 访 问 内 部 网 络 中 的 资源 , 则 需要 采用 VPN 接 入 技术 。 在 
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VPN 接 人 技术 下 ,Internet 中 的 终端 C 和 终端 D 同时 具有 两 个 卫 地 址 , 即 内 部 网 络 的 私 
有 了 IP 地 址 和 Internet 的 全 球 IP Jh 242629; C 或 终端 D 向 内 部 网 络 中 的 终端 A 发 送 IP 
分 组 时 ,该 IP 分 组 的 源 IP. 地 址 是 终端 C 或 终端 D 的 私有 IP 地 址 ,目的 IP 地址 是 终端 A 
的 私有 IP 地 址 。 由 于 Internet 中 的 路 由 器 无 法 路 由 该 IP 分 组 ,因此 ,将 该 TP. 分 组 作为 
隧道 报 文 的 净 荷 ,隧道 报 文 外 层 TP 首部 的 源 TP 地 址 是 终端 C 或 终端 D 的 全 球 IP 地 址 ， 
目的 IP 地 址 是 路 由 器 R2 连接 Internet 的 接口 的 全 球 IP 地 址 。 由 Internet 负责 将 该 隧 
道 报 文 传输 给 路 由 器 R2, 路 由 器 R2 从 隧道 报 文中 分 离 出 原始 的 以 私有 TP 地 址 为 源 和 目 
的 全 地 址 的 IP 分 组 ,通过 内 部 网 络 将 该 IP 分 组 传输 给 终端 A。 


7.4.2 实验 目的 


(1) 验证 ISAKMP 策略 配置 过 程 。 

(2) 验证 IP Sec 参数 配置 过 程 。 

(3) 验证 VPN 服务 器 配置 过 程 。 

(4) 验证 VPN 接 入 过 程 。 

(5) 验证 ESP 报 文 封装 过 程 。 

(6) 验证 Cisco Easy VPN 的 工作 原理 。 


743 实验 原理 


Cisco Easy VPN 用 于 解决 连接 在 Internet 上 的 终端 访问 内 部 网 络 资源 的 问题 。 图 
7.19 所 示 是 用 于 实现 VPN 接 入 过 程 的 互连网 结构 。 内 部 网 络 由 路 由 器 R1 互 连 的 、 网 络 
地 址 分 别 是 192. 168. 1. 0/24、192. 168. 2. 0/24 和 192. 168. 3. 0/24 的 三 个 子 网 组 成 ， 
Internet 由 路 由 器 R3 互 连 的 、 网 络 地 址 分 别 是 192. 1. 1. 0/24、192. 1. 2. 0/24 和 192.1.3.0/ 
24 的 三 个 子 网 组 成 。 从 R1 和 R3 的 路 由 表 可 以 看 出 ,R1 路 由 表 只 包含 用 于 指明 通 往 内 
部 网 络 各 个 子 网 的 传输 路 径 的 路 由 项 ,其 中 网 络 地 址 192. 168. 4. 0/24 用 于 作为 分 配给 连 
接 在 Internet. 上 的 终端 的 内 部 网 络 私有 IP 地 址 池 。R3 路 由 表 中 只 包含 用 于 指明 通 往 
Internet 各 个 子 网 的 传输 路 径 的 路 由 项 。 终端 C 和 终端 DD 配置 Internet 全 球 IP 地 址 ,在 
完成 VPN 接 入 过 程 前 ,无 法 访问 内 部 网 络 资源 ,如 内 部 网 络 的 Web 服务 器 。R2 一 方面 
作为 VPN 服务 器 实现 终端 C 和 终端 D 的 VPN 接 入 功能 , 另 一 方面 实现 内 部 网 络 和 
Internet 互 连 。R1 和 R2 通过 RIP 建立 用 于 指明 通 往 内 部 网 络 各 个 子 网 的 传输 路 径 的 路 
由 项 。R2 和 了 3 通过 OSPF 建立 用 于 指明 通 往 Internet 各 个 子 网 的 传输 路 径 的 路 由 项 。 
因此 ,路 由 器 R2 同时 具有 用 于 指明 通 往 内 部 网 络 各 个 子 网 和 Internet 各 个 子 网 的 传输 
路 径 的 路 由 项 。 

像 终 端 C 和 终端 D 这 样 通过 VPN 接 入 技术 接 入 内 部 网 络 的 终端 称 为 VPN 接 入 终 
端 。Cisco Easy VPN 实现 终端 C 和 终端 D 通过 VPN 接 入 技术 接 入 内 部 网 络 的 过 程 如 
下 : 首先 建立 安全 传输 通道 ,然后 鉴别 VPN 接 入 用 户 身份 ,在 完成 用 户 身份 鉴别 过 程 后 ， 
向 VPN 接 入 用 户 推 送 配 置信 息 , 包 括 私 有 IP 地 址 . 子 网 掩 码 等 。 最 后 建立 VPN 服务 器 
R2 5 VPN 接 入 终端 之 间 的 IP Sec 安全 关联 ,用 于 实现 数据 VPN 接 入 终端 与 VPN 服务 
器 之 间 的 安全 传输 。VPN 接 入 终端 访问 内 部 网 络 资源 时 使 用 VPN 服务 器 R2 为 其 分 配 
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的 内 部 网 络 私有 IP 地 址 。 

1. 配置 客户 组 

与 建立 隧道 两 端 之 间 的 IP Sec 安全 关联 不 同 , 在 VPN 接 入 终端 发 起 VPN 接 人 过 程 
前 ,路 由 器 R2 并 不 知道 IP. Sec 安全 关联 的 男 一 端 ,如 果 采 用 共享 密 钥 鉴别 方式 , 则 无 法 
事先 确定 用 共享 密 钥 相互 鉴别 身份 的 两 端 ,只 能 通过 定义 客户 组 的 方式 确定 与 路 由 器 R2 
通过 共享 密 钥 相互 鉴别 身份 的 一 组 客户 。 

2. 集成 IP Sec 安全 关联 与 身份 鉴别 

建立 IP Sec 安全 关联 的 前 提 是 VPN 接 入 用 户 成 功 完成 身份 鉴别 过 程 ,因此 ,需要 将 
IP Sec 安全 关联 建立 过 程 与 身份 鉴别 机 制 集 成 在 一 起 。 成 功 建立 IP Sec 安全 关联 后 , 通 
过 IP Sec 安全 关联 对 VPN 接 入 终端 分 配 私有 IP 地 址 。 


7.4.4 关键 命令 说 明 


1. OSPF 配置 命令 
以 下 命令 序列 用 于 完成 路 由 器 针对 路 由 协议 OSPF 的 配置 过 程 。 








Router (config)#router ospf 22 
Router (config-router)#network 192.1.3.0 0.0.0.255 area 1 


Router (config-router)#exit 


router ospf 22 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 有 两 个 : 一 是 启动 进程 标识 
符 为 22 的 OSPF 进程 ;二 是 进入 OSPF 配置 模式 。 和 RIP 不 同 ,Cisco 允许 同一 台 路 由 
器 运行 多 个 OSPF 进程 ,不 同 的 OSPF 进程 用 不 同 的 进程 标识 符 标识 ,22 是 OSPF 进程 
标识 符 。 进 程 标识 符 只 有 本 地 意义 。 执 行 该 命令 后 ,进入 OSPF 配置 模式 。 

network 192, 1. 3. 0 0.0.0. 255 area 1 是 OSPF 配置 模式 下 使 用 的 命令 ,该 命令 的 作 
用 有 两 个 : 一 是 指定 参与 OSPF 创建 动态 路 由 项 过 程 的 路 由 器 接口 ,所 有 接口 IP 地 址 属 
T CIDR 地 址 块 192.1.3. 0/24 的 路 由 器 接口 均 参 与 OSPF 创建 动态 路 由 项 的 过 程 , 确 定 
参与 OSPF 创建 动态 路 由 项 过 程 的 路 由 器 接口 将 接收 和 发 送 OSPF 消息 ;二 是 指定 参与 
OSPF 创建 动态 路 由 项 过 程 的 网 络 ,直接 连接 的 网 络 中 所 有 网 络 地 址 属于 CIDR 地 址 块 
192. 1. 3. 0/24 的 网 络 均 参 与 OSPF 创建 动态 路 由 项 的 过 程 ,其 他 路 由 器 创建 的 动态 路 由 
项 中 包含 用 于 指明 通 往 确定 参与 OSPF 创建 动态 路 由 项 过 程 的 网 络 的 传输 路 径 的 动态 路 
由 项 。192. 1. 3.0 0.0.0.255 用 于 指定 CIDR 地 址 块 192. 1. 3.0/24,0. 0. 0. 255 是 子 网 掩 
码 255.255. 255.0 的 反 码 ,其 作用 等 同 于 子 网 掩 码 255. 255. 255. 0。 无 论 是 指定 参与 
OSPF 创建 动态 路 由 项 过 程 的 路 由 器 接口 ,还 是 指定 参与 OSPF 创建 动态 路 由 项 过 程 的 
网 络 都 是 针对 某 个 OSPF 区 域 的 ,用 区 域 标识 符 唯一 指定 该 区 域 。 所 有 路 由 器 中 指定 属 
于 相同 区 域 的 路 由 器 接口 和 网 络 必须 使 用 相同 的 区 域 标识 符 ,area 1 表示 区 域 标 识 符 为 
1。 只 有 主干 区 域 才能 使 用 区 域 标识 符 0。 值 得 指出 的 是 ,虽然 在 图 7. 19 所 示 的 VPN 接 
和 网络 中 ,路 由 器 R2 直接 连接 的 网 络 有 192. 1. 3. 0/24 和 192. 168. 3. 0/24, 但 是 由 于 路 
由 协议 OSPF 只 是 建立 用 于 指明 通 往 属 于 Internet 的 网 络 的 传输 路 径 的 路 由 项 ,因此 ,路 
由 器 R2 直接 连接 的 网 络 中 ,只 有 网 络 192. 1. 3. 0/24 参与 OSPF 动态 创建 路 由 项 的 








过 程 。 

2. 配置 安全 策略 

安全 策略 用 于 建立 两 端 之 间 的 安全 传输 通道 ,安全 传输 通道 的 两 端 之 间 需 要 进行 基 
于 共享 密 钥 的 双向 身份 鉴别 过 程 ,对 隧道 两 端 之 间 传 输 的 数据 进行 加 密 , 由 接收 端 对 数据 
进行 完整 性 检测 。 因 此 ,需要 通过 以 下 命令 序列 完成 加 密 算法 、. 报 文摘 要 算法 、 密 钥 生 成 
算法 等 的 配置 过 程 。 





Router (config)#crypto isakmp policy 1 

Router (config-isakmp)fauthentication pre-share 
Router (config-isakmp)fencryption aes 256 
Router (config-isakmp)fhash sha 

Router (config-isakmp)fgroup 2 

Router (config-isakmp)flifetime 900 


crypto isakmp policy 1 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 有 两 个 : 一 是 定义 
编号 和 优先 级 为 1 的 安全 策略 ;二 是 进入 策略 配置 模式 。 需 要 建立 安全 传输 通道 的 两 端 
可 以 定义 多 个 安全 策略 ,编号 和 优先 级 越 小 的 安全 策略 优先 级 越 高 ,隧道 两 端 成 功 建立 安 
全 传输 通道 的 前 提 是 隧道 两 端 存在 匹配 的 安全 策略 。 

authentication pre-share 是 策略 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 为 该 安全 
策略 指定 鉴别 机 制 ,pre-share 表示 采用 共享 密 钥 鉴别 机 制 。 存 在 多 种 鉴别 机 制 , 如 基于 
RSA 的 数字 签名 等 ,但 Packet Tracer 只 支持 共享 密 钥 鉴别 机 制 。 

encryption aes 256 是 策略 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 为 该 安全 策略 指 
定 加 密 算法 AES, 密 钥 长 度 为 256 位 。Packet Tracer 支持 的 加 密 算法 有 3DES, AES 
和 DES, 

hash sha 是 策略 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 为 该 安全 策略 指定 报 文摘 
要 算法 SHA。Packet Tracer 支持 的 报 文摘 要 算法 有 MD5 和 SHA。 

group 2 是 策略 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 为 该 安全 策略 指定 Diffie- 
Hellman 组 标识 符 2。Packet Tracer 支持 的 Diffie-Hellman 组 标识 符 有 1,2 和 5。 

lifetime 900 是 策略 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 指定 900 秒 为 该 安全 策 
略 相关 的 IKE 安全 关联 的 寿命 。 一 旦 超过 了 900 秒 寿命 ,将 重新 建立 IKE 安全 关联 。 

3. 配置 客户 组 

由 于 无 法 确定 需要 建立 安全 传输 通道 的 男 一 端 ,因此 ,无 法 在 需要 建立 安全 传输 通道 
的 两 端 配置 共享 密 钥 ,只 能 通过 配置 客户 组 的 方式 解决 这 一 问题 。 将 具有 相同 属性 的 一 
组 VPN 接 入 用 户 定义 为 客户 组 ,为 客户 组 配置 组 名 和 密 钥 ,同时 将 内 部 网 络 私有 IP 地 
址 池 和 子 网 掩 码 与 该 客户 组 绑 定 在 一 起 。 

命令 序列 如 下 : 


Router (config)#ip local pool vpnpool 192.168.4.1 192.168.4.100 
Router (config)fcrypto isakmp client configuration group asdf 
Router (config-isakmp- group)#key asdf 

Router (config-isakmp-group)$fpool vpnpool 


Ne 网 络 安全 实验 教程 


Router (config-isakmp-group)#netmask 255.255.255.0 


Router (config-isakmp-group)#exit 


ip local pool vpnpool 192. 168. 4. 1 192. 168. 4. 100 是 全 局 模式 下 使 用 的 命令 ,该 命 
令 的 作用 是 定义 名 为 vpnpool 的 内 部 网 络 私有 IP 地 址 池 , 指 定 私有 IP 地 址 池 的 私有 IP 
地 址 范围 为 192. 168. 4. 1 一 192. 168. 4. 100, 

crypto isakmp client configuration group asdf 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 
作用 有 两 个 : 一 是 定义 名 为 asdf 的 客户 组 ;二 是 进入 该 客户 组 的 组 安全 策略 配置 模式 ,组 
安全 策略 配置 模式 下 配置 的 安全 属性 适用 于 所 有 属于 该 客户 组 的 VPN 接 入 用 户 。 

key asdf 是 组 安全 策略 配置 模式 下 使 用 的 命令 , (config 一 isakmp 一 group)# 是 组 安 
全 策略 配置 模式 下 的 命令 提示 符 。 该 命令 的 作用 是 指定 VPN 服务 器 与 属于 该 客户 组 的 
VPN 接 入 用 户 之 间 的 共享 密 钥 asdf。 

VPN 接 入 用 户 发 起 VPN 接 入 过 程 时 ,必须 通过 输入 组 名 asdf 和 共享 密 钥 asdf 证 明 
自己 属于 该 客户 组 。 

pool vpnpool 是 组 安全 策略 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 指定 用 于 为 
VPN 接 入 终端 分 配 内 部 网 络 私 有 IP 地 址 的 私有 IP 地 址 池 。vpnpool 是 内 部 网 络 私 有 
IP 地 址 池 名 。 

netmask 255. 255. 255. 0 是 组 安全 策略 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 指 
定 VPN 接 入 终端 的 子 网 掩 码 。 

4. 配置 鉴别 机 制 

鉴别 机 制 分 为 本 地 鉴别 机 制 和 基于 RADIUS 协议 的 统一 鉴别 机 制 ,以 下 命令 序列 指 
定 使 用 基于 RADIUS 协议 的 统一 鉴别 机 制 鉴别 VPN 接 入 用 户 。 




















Router (config)#aaa new-model 
Router (config)#aaa authentication login vpna group radius 


Router (config)#aaa authorizatio network vpnb local 


aaa authentication login vpna group radius 是 全 局 模式 下 使 用 的 命令 ,需要 在 启动 路 
由 器 AAA 功能 后 输入 。 该 命令 的 作用 是 指定 用 于 鉴别 VPN 接 入 用 户 身 份 的 鉴别 机 制 
列表 ,vpna 是 鉴别 机 制 列表 名 ,group radius 是 鉴别 机 制 ,表明 采用 基于 RADIUS 协议 的 
统一 鉴别 机 制 ,因此 ,需要 配套 配置 与 基于 RADIUS 协议 的 AAA 服务 器 有 关 的 信息 。 

aaa authorizatio network vpnb local 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 指定 
用 于 鉴别 是 否 授权 访问 网 络 的 鉴别 机 制 列表 ,vpnb 是 鉴别 机 制 列表 名 ,local 是 鉴别 机 
制 , 表 明 采 用 本 地 鉴别 机 制 。 这 里 要 求 只 允许 属于 指定 客户 组 的 用 户 访问 网 络 。 

因此 ,VPN 接 入 用 户 发 起 VPN 接 人 过 程 时 , 既 需 要 提供 证 明 自 己 属于 指定 客户 组 的 
信息 ,也 需要 提供 证 明 自 己 是 授权 用 户 的 身份 信息 (用 户 名 和 口令 )。 

5. 配置 动态 安全 映射 

完成 VPN SE AJ VPN 接 入 用 户 与 VPN 服务 器 之 间 建 立 IP Sec 安全 关联 ,隧道 两 
端 通过 IP Sec 安全 关联 实现 数据 的 安全 传输 。 以 下 命令 序列 用 于 配置 与 IP Sec 安全 关 
联 有 关 的 信息 ,并 将 IP Sec 安全 关联 与 VPN 接 人 过 程 绑 定 在 一 起 。 
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Router (config)fcrypto ipsec transform-set vpnt esp- 3des esp- sha- hmac 
Router (config)fcrypto dynamic-map vpn 10 

Router (config-crypto-map)fset transform-set vpnt 

Router (config-crypto-map)freverse-route 


Router (config-crypto-map)fexit 


crypto ipsec transform-set vpnt esp-3des esp-sha-hmac 是 全 局 模式 下 使 用 的 命令 ,用 
于 定义 名 为 vpnt 的 变换 集 ,vpnt 是 变换 集 名 ,变换 集中 指定 IP Sec 安全 关联 使 用 的 安全 
协议 (ESP) .加密 算法 (3DES) 和 HMAC 算法 (SHA-HMAC ) 。 

crypto dynamic-map vpn 10 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 有 两 个 : 一 是 
创建 名 为 vpn 序号 为 10 的 动态 加 密 映 射 ;二 是 进入 加 密 映 射 配置 模式 。 

set transform-set vpnt 是 加 密 映 射 配 置 模 式 下 使 用 的 命令 , (config-crypto-map)# 是 
加 密 映 射 配置 模式 下 的 命令 提示 符 。 该 命令 的 作用 是 指定 建立 IP Sec 安全 关联 时 使 用 
的 变换 集 ,这 里 指定 使 用 名 为 vpnt 的 变换 集 所 指定 的 安全 协议 和 各 种 相关 算法 。 

reverse-route 是 加 密 映 射 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 有 两 个 : 一 是 在 路 
由 表 中 自动 增加 通 往 VPN 接 入 终端 的 路 由 项 ;二 是 自动 将 目的 地 为 该 VPN 接 入 终端 的 
IP 分 组 如 入 需要 经 过 IP Sec 安全 关联 传输 的 IP 分 组 集 。 

动态 加 密 映 射 与 普通 加 密 映射 相 比 ,无 法 定义 IP. Sec 安全 关联 的 另 一 端 ,也 无 法 定 
义 用 于 指定 经 过 IP Sec 安全 关联 传输 的 IP 分 组 集 的 分 组 过 滤器 。 命 令 reverse-route 用 
于 实现 VPN 接 入 环境 下 的 部 分 上 述 功能 。 

6. 集成 IP Sec 安全 关联 与 鉴别 机 制 

以 下 命令 序列 用 于 将 IP Sec 安全 关联 建立 过 程 与 身份 鉴别 机 制 集成 在 一 起 。 























router (config)#crypto map vpn client authentication list vpna 
router (config)#crypto map vpn isakmp authorization list vpnb 


router (config)#crypto map vpn client configuration address respond 


crypto map vpn client authentication list vpna 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 
作用 是 将 名 为 vpn 的 动态 加 密 映 射 与 名 为 vpna 的 用 于 鉴别 VPN 接 入 用 户 身 份 的 鉴别 
机 制 列表 绑 定 在 一 起 ,表示 成 功 建立 IP. Sec 安全 关联 的 前 提 是 已 经 成 功 完成 VPN 接 入 
用 户 的 身份 鉴别 过 程 。 

crypto map vpn isakmp authorization list vpnb 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 
作用 是 将 名 为 vpn 的 动态 加 密 映 射 与 名 为 vpnb 的 用 于 鉴别 是 否 授 权 访 问 网 络 的 鉴别 机 
制 列表 绑 定 在 一 起 。 表 示 只 与 属于 指定 客户 组 的 VPN 接 入 用 户 建立 安全 传输 通道 。 

crypto map vpn client configuration address respond 是 全 局 模式 下 使 用 的 命令 ,该 命 
令 的 作用 是 指定 路 由 器 接受 来 自 IP Sec 安全 关联 另 一 端的 IP 地 址 请 求 。 这 是 通过 IP 
Sec 安全 关联 实现 VPN 安全 接 人 所 需要 的 功能 。 

7. 作用 加 密 映射 

命令 序列 如 下 : 


router (config)#crypto map vpn 10 ipsec-isakmp dynamic vpn 
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router (config)finterface FastEthernet0/1 

router (config-if)fcrypto map vpn 

router (config-if)fexit 

crypto map vpn 10 ipsec-isakmp dynamic vpn 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作 
用 是 在 定义 名 为 vpn、 序 号 为 10 的 加 密 映 射 时 ,引用 已 经 存在 的 名 为 vpn 的 动态 加 密 
映射 。 
后 面 两 条 命令 用 于 完成 将 名 为 vpn 的 加 密 映 射 作用 到 路 由 器 接口 FastEthernet0/1 
的 过 程 。 


745 实验 步骤 


(1) 根据 如 图 7. 19 所 示 的 互连网 结构 放置 和 连接 设备 ,完成 设备 放置 和 连接 后 的 逻 
辑 工作 区 界面 如 图 7. 20 所 示 。 
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7.20 完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 


(2) 按照 如 图 7. 19 所 示 的 各 个 路 由 器 接口 的 IP 地 址 和 子 网 掩 码 完成 路 由 器 接口 TP 
地 址 和 子 网 掩 码 配 置 过 程 。 在 路 由 器 Routerl 和 Router? 中 启动 RIP 路 由 进程 ,在 路 由 
表 中 建立 用 于 指明 通 往 内 部 网 络 各 个 子 网 的 传输 路 径 的 路 由 项 。 

(3) 通过 在 CLI( 命 令 行 接口 ) 下 输入 相关 命令 ,在 路 由 器 Router? 和 Router3 中 启动 
OSPF 路 由 进程 ,在 路 由 表 中 建立 用 于 指明 通 往 Internet 各 个 子 网 的 传输 路 径 的 路 由 项 。 
路 由 器 Routerl 至 路 由 器 Router3 的 路 由 表 分 别 如 图 7. 21~7. 23 所 示 。 值 得 指出 的 是 ， 
路 由 器 Router3 的 路 由 表 中 只 包含 用 于 指明 通 往 Internet 各 个 子 网 的 传输 路 径 的 路 由 
项 ,路 由 器 Routerl 的 路 由 表 中 只 包含 用 于 指明 通 往 内 部 网 络 各 个 子 网 的 传输 路 径 的 路 
由 项 ,因此 ,配置 全 球 IP 地 址 的 远程 终端 PC2 和 PC3 是 无 法 访问 内 部 网 络 的 。 
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Network. 
182. 168. 1.0/24 
182. 168.2. 0/24 
192. 168.3. 0/24 
192. 168. 4. 0/24 
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192.1.3.0124 FastEthernet0/0 
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图 7.23 路 由 器 Router3 路 由 表 


(4) 在 CLI( 命 令 行 接口 ) 配 置 方式 下 ,完成 VPN 服务 器 (路 由 器 Router2) 配 置 过 程 。 
配置 内 容 分 为 三 部 分 : 一 是 和 建立 IP Sec 安全 关联 相关 的 配置 ,包括 ISAKMP 策略 IP 
Sec 变换 集 和 加 密 映 射 等 ,只 是 由 于 无 法 确定 IP. Sec 安全 关联 的 另 一 端 ,所 以 必须 建立 动 
态 加 密 映射 ;二 是 客户 组 配置 ,为 属于 该 客户 组 的 VPN 接 入 终端 配置 共享 密 钥 、 内 部 网 
络 私有 TP 地 址 池 、 子 网 掩 码 及 其 他 网 络 信 息 等 ;三 是 配置 VPN 接 入 用 户 身 份 鉴 别 信息 ， 
配置 RADIUS 服务 器 信息 (RADIUS 服务 器 的 IP 地 址 和 路 由 器 Router2 与 RADIUS 服 
务 器 之 间 的 共享 密 钥 ) 。 

(5) 在 AAA 服务 器 中 定义 所 有 授权 用 户 ,AAA 服务 器 配置 界面 如 图 7. 24 所 示 。 

(6) 完成 VPN 服务 器 和 AAA 服务 器 配置 后 ,通过 启动 VPN( 终 端 VPN 客户 端 程 
序 ) 开 始 VPN 接 入 过 程 ,如 图 7. 25 所 示 是 PC2 的 VPNCVPN 客户 端 ) 配 置 界 面 ,Group 
Name( 组 名 ) 是 在 VPN 服务 器 配置 客户 组 时 指定 的 客户 组 名 字 ,Group Key( 组 密 钥 ) 是 
为 该 客户 组 配置 的 共享 密 钥 ,Server IPCVPN 服务 器 IP 地 址 ) 是 路 由 器 Router2 作用 加 
密 映射 的 接口 的 全 球 IP 地 址 。Username( 用 户 名 ) 和 Password( 口 令 ) 必 须 是 AAA 服务 
器 中 配置 的 某 个 授权 用 户 的 用 户 标识 信息 。 一 旦 终端 VPN 接 入 成 功 , 则 终端 分 配 内 部 
网 络 私有 IP 地 址 。 图 7. 26 所 示 是 PC2 成 功 完成 VPN 接 入 过 程 后 分 配 的 内 部 网 络 私有 
JP 地 址 ,该 私有 全 地址 是 VPN 服务 器 在 属于 私有 IP 地 址 池 且 未 分 配 的 私有 IP 地 址 中 
选择 的 。VPN 服务 器 为 VPN 接 入 终端 分 配 内 部 网 络 私 有 IP 地址 的 同时 ,建立 以 该 内 部 
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图 7.25 PC2 VPN 接 入 程序 界面 
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网 络 私有 IP 地 址 为 目的 地 址 的 路 由 项 ,该 路 由 项 将 该 内 部 网 络 私有 IP 地 址 和 VPN 服务 
器 与 VPN 接 人 终端 之 间 的 安全 隧道 绑 定 在 一 起 ,因此 ,该 路 由 项 的 下 一 跳 是 安全 隧道 另 
一 端的 全 球 IP 地 址 , 即 该 VPN 接 和 终端 配置 的 全 球 IP 地 址 。 路 由 器 Router? 在 完成 
PC2 和 PC3 VPN 接 入 过 程 后 的 路 由 表 如 图 7. 27 所 示 。 
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图 7.26 PC2 完成 VPN 接 入 过 程 后 分 配 的 私有 IP 地 址 


Network. Port Next Hop IP 
192. 1. 1.0/24 FastEthernet0/1 192.1.3.2 
192. 1. 2. 0/24 FastEthernet0/1 192.1.3.2 
192. 1.3.0/24 FastEthernet0/1 me 
192. 168. 1.0/24 FastEthernet0/0 192.168.3.1 


192. 168. 2. 0/24 FastEthernet0/0 192. 168.3. 1 


192. 168. 3. 0/24 FastEthernet0/0 Ct 
182. 168. 4. 1/32 FastEthernet0/1 192.1.1.1 
192. 168. 4. 2/32 FastEthernet0/1 192.1.2.1 
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7.27 远程 终端 完成 VPN 接 入 过 程 后 的 Router2 路 由 表 


(7) 切换 到 模拟 操作 模式 ,启动 PC2 至 Web 服务 器 的 IP 分 组 传输 过 程 。PC2 传输 
给 Web 服务 器 的 IP 分 组 以 PC2 完成 VPN 接 人 过 程 后 分 配 的 私有 TP 地 址 192.168.4.1 
为 源 IP 地 址 .以 Web 服务 器 的 私有 卫 地 址 192. 168. 1. 2 为 目的 JP 地 址 ,该 IP 分 组 称 为 
WE IP 分 组 ,IP 分 组 格式 如 图 7. 28 所 示 。 由 于 PC2 与 作为 VPN 服务 器 的 Router2 之 
间 已 经 建立 IP Sec 安全 关联 ,因此 ,内 层 TP 分 组 被 封装 成 ESP 报 文 ,ESP 报 文 被 封装 成 
UDP 报 文 , UDP 报 文 被 封装 成 以 PC2 的 全 球 IP 地 址 192. 1. 1. 1 为 源 IP 地址、 以 
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Router2 连接 Internet 的 接口 的 全 球 IP 地 址 192. 1.3. 1 为 目的 IP 地 址 的 外 层 IP 分 组 ， 
整个 封装 过 程 如 图 7. 28 所 示 。 外 层 IP 分 组 经 过 Internet 到 达 作为 VPN 服务 器 的 
Router2, Router? 经 过 逐 层 去 封装 ,分 离 出 以 私有 TP 地址 192. 168. 4. 1 为 源 IP 地 址 以 
Web 服务 器 的 私有 IP 地址 192. 168. 1. 2 为 目的 TP 地 址 的 TP. 分 组 ,通过 内 部 网 络 将 该 内 
层 卫 分 组 转发 给 Web 服务 器 。 内 部 网 络 传输 的 内 层 TP 分 组 格式 如 图 7. 29 Bron 
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SRC PORT: 4500 DEST PORT: 4500 
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DATA (VARIABLE) 
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图 7.28 PC2 将 内 层 IP 分 组 封装 成 外 层 IP 分 组 的 过 程 


746 命令 行 接口 配置 过 程 


1. Router! 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router»enable 


Router# configure terminal 
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SRC IP: 192.168.4.1 
DST IP: 192.168.1.2 
OPT: 0x0 
DATA (VARIABLE LENGTH) 








ICMP 
e 16 31 Bits 

TYPE: 0x8 | CODE: 0x0 CHECKSUM 
ID: 0x2 SEQ NUMBER: 1 















































图 7.29 内 层 IP 分 组 格式 


Router (config)#hostname Routerl 
Routerl(config)finterface FastEthernet0/0 

Routerl (config-if)#no shutdown 

Routerl(config-if)fip address 192.168.1.254 255.255.255.0 
Routerl(config-if)fexit 

Routerl(config)finterface FastEthernet0/1l 
Routerl(config-if)$no shutdown 

Routerl(config-if)fip address 192.168.2.254 255.255.255.0 
Routerl(config-if)fexit 

Routerl(config)finterface FastEthernetl/0 

Routerl (config-if)#no shutdown 

Routerl(config-if)fip address 192.168.3.1 255.255.255.0 
Routerl(config-if)fexit 

Routerl(config)fip route 192.168.4.0 255.255.255.0 192.168.3.2 
Routerl(config)frouter rip 
Routerl(config-router)fnetwork 192.168.1.0 
Routelr(config-router)f&network 192.168.2.0 
Routerl(config-router)fnetwork 192.168.3.0 


Routerl(config-router)fexit 


注意 ; Routerl 通过 RIP 建立 用 于 指明 通 往 内 部 网 络 中 各 个 子 网 的 传输 路 径 的 路 由 
项 ,通过 静态 路 由 项 指明 通 往 VPN 接 入 终端 的 传输 路 径 。 

2. Router2 命令 行 接口 配置 过 程 

命令 序列 如 下 : 

Router>enable 


Router#configure terminal 


Router (config)#hostname Router2 


)/. Wise seite 


Router2 (config)finterface FastEthernet0/0 

Router2 (config-if)#no shutdown 

Router2 (config-if)#ip address 192.168.3.2 255.255.255.0 
Router2(config-if)fexit 

Router2 (config)# router rip 

Router2 (config-router)fnetwork 192.168.3.0 
Router2(config-router)fexit 

Router2 (config)finterface FastEthernet0/1 

Router2 (config-if)f$no shutdown 

Router2 (config-if)fip address 192.1.3.1 255.255.255.0 

Router2 (config-if)fexit 

Router2 (config)frouter ospf 22 

Router2 (config-router)#network 192.1.3.0 0.0.0.255 area 1 
Router2(config-router)fexit 

Router2(config)fcrypto isakmp policy 1 

Router2 (config-isakmp)fauthentication pre-share 

Router2 (config-isakmp)fencryption aes 256 

Router2 (config-isakmp)fhash sha 

Router2 (config-isakmp)fgroup 2 
Router2(config-isakmp)flifetime 900 
Router2(config-isakmp)fexit 

Router2(config)fip local pool vpnpool 192.168.4.1 192.168.4.100 
Router2(config)fcrypto isakmp client configuration group asdf 
Router2 (config-isakmp-group)fkey asdf 

Router2 (config-isakmp-group)fpool vpnpool 
Router2(config-isakmp-group)fnetmask 255.255.255.0 

Router2 (config-isakmp-group)fexit 

Router2 (config)#crypto ipsec transform-set vpnt esp-3des esp-sha-hmac 
Router2 (config)fcrypto dynamic-map vpn 10 

Router2 (config-crypto-map)fset transform-set vpnt 

Router2 (config-crypto-map)freverse-route 
Router2(config-crypto-map)fexit 

Router2 (config)faaa new-model 

Router2 (config)#aaa authentication login vpna group radius 
Router2 (config)faaa authorization network vpnb local 

Router2 (config)fradius-server host 192.168.1.1 

Router2 (config)#radius-server key asdf 

Router2 (config)fhostname router 

router (config)fcrypto map vpn client authentication list vpna 
router (config)fcrypto map vpn isakmp authorization list vpnb 
router (config)fcrypto map vpn client configuration address respond 
router (config)fcrypto map vpn 10 ipsec-isakmp dynamic vpn 
router (config)finterface FastEthernet0/1 


router (config-if)fcrypto map vpn 
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注意 : Router2 通过 RIP 建立 用 于 指明 通 往 内 部 网 络 中 各 个 子 网 的 传输 路 径 的 路 由 
项 ,通过 OSPF 建立 用 于 指明 通 往 Internet 中 各 个 子 网 的 传输 路 径 的 路 由 项 。 

3. Router3 命令 行 配置 过 程 

命令 序列 如 下 : 


router (config-if)#exit 


Router>enable 

Router#configure terminal 

Router (config)#hostname Router3 

Router3 (config)#interface FastEthernet0/0 

Router3 (config-if)#no shutdown 

Router3 (config-if)#ip address 192.1.3.2 255.255.255.0 
Router3 (config-if)#exit 

Router3 (config)#interface FastEthernet0/1 

Router3 (config-if)#no shutdown 

Router3 (config-if)#ip address 192.1.1.254 255.255.255.0 
Router3 (config-if)#exit 

Router3 (config)#interface FastEthernet1/0 

Router3 (config-if)#no shutdown 

Router3 (config-if)#ip address 192.1.2.254 255.255.255.0 
Router3 (config-if)#exit 

Router3 (config)#router ospf 33 

Router3 (config-router)#network 192.1.1.0 0.0.0.255 area 1 
Router3 (config-router)#network 192.1.2.0 0.0.0.255 area 1 
Router3(config-router)$network 192.1.3.0 0.0.0.255 area 1 


Router3(config-router)fexit 

注意 : Router3 通过 OSPF 建立 用 于 指明 通 往 Internet 中 各 个 子 网 的 传输 路 径 的 路 
由 项 。 

4. 命令 列表 

路 由 器 命令 行 接口 配置 过 程 中 使 用 的 命令 及 功能 和 参数 说 明 如 表 7.4 所 示 。 


表 7.4 命令 列表 


命令 格式 功能 和 参数 说 明 





crypto isakmp client configuration 
group groufrname 


创建 客户 组 ,并 进入 客户 组 的 组 安全 策略 配置 模式 。 参 数 
groujrname 是 客户 组 名 





配置 VPN 服务 器 与 属于 客户 组 的 所 有 VPN 接 入 终端 之 间 的 共 
Su] 


key name 





pool pool-name 


指定 客户 组 使 用 的 TP 地 址 池 。 参 数 pool-name 为 地 址 池 名 





netmask name 





指定 客户 组 使 用 的 子 网 掩 码 
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命令 格式 


续 表 
功能 和 参数 说 明 





crypto dynamic-map d ynamic-ma p- 


name d ynamic-seq-num 


创建 一 个 动态 的 加 密 映射 ,参数 ynamic-ma p-nam 指定 加 密 映 
射 名 ,参数 dynamic-seq-num 用 于 为 加 密 映射 分 配 序 号 ,同时 进 
人 入 加密 映射 配置 模式 





reverse-route 


一 是 在 路 由 表 中 自动 增加 通 往 VPN 接 入 终端 的 路 由 项 ;二 是 自 
动 将 目的 地 为 该 VPN 接 和 终端 的 IP 分 组 加 入 需要 经 过 IP Sec 
安全 关联 传输 的 IP 分 组 集 





aaa authorization network (default | 
list name} [methodl [method2...]] 


aaa authentication login (default | 
list-name }[method1 [method2... ]] 


crypto map ma j-name client 
authentication list list name 


crypto map ma p-name isakmp. 
authorization list /ist-name 


crypto map /ag client configuration 
address respond 


crypto map ma f-name seq-num 
ipsec-isakmp dynamic dynamic 
ma pname 


定义 用 于 鉴别 是 否 授权 访问 网 络 的 鉴别 机 制 列 表 , 鉴 别 机 制 通 
过 参数 method 指定 ,Packet Tracer 常用 的 鉴别 机 制 有 local( 本 
地 ) group radius(radius 服务 器 统一 鉴别 ) 等 。 可 以 为 定义 的 鉴 
别 机 制 列表 分 配 名 字 , 参 数 List-name 用 于 为 该 鉴别 机 制 列表 指 
ERF. default 选项 将 该 鉴别 机 制 列表 作为 默认 列表 


定义 用 于 鉴别 VPN 接 入 用 户 身 份 的 鉴别 机 制 列表 ,鉴别 机 制 通 
过 参数 method 指定 ,Packet Tracer 常用 的 鉴别 机 制 有 local( 本 
地 ) ,group radius(radius 服务 器 统一 鉴别 ) 等 。 可 以 为 定义 的 鉴 
别 机 制 列表 分 配 名 字 , 参 数 List-name 用 于 为 该 鉴别 机 制 列表 指 
ERF. default 选项 将 该 鉴别 机 制 列表 作为 默认 列表 


将 IP Sec 安全 关联 建立 过 程 与 身份 鉴别 过 程 集成 在 一 起 ,参数 
ma [name 指定 加 密 映 射 名 ,参数 listname 指定 鉴别 机 制 列 
表 名 

将 IP Sec 安全 关联 建立 过 程 与 访问 网 络 权限 鉴别 过 程 集成 在 一 
起 ,参数 maprname 指定 加 密 映射 名 ,参数 Listname 指定 鉴别 机 
制 列表 名 

将 IP Sec 安全 关联 建立 过 程 与 地 址 配置 方式 集成 在 一 起 ,参数 
tag 指定 加 密 映 射 名 ,表示 路 由 器 接受 来 自 IP Sec 安全 关联 另 
一 端的 卫 地 址 请 求 

定义 加 密 映射 时 ,引用 已 经 存在 的 动态 加 密 映射 ,参数 ma p 
name 是 定义 的 加 密 映射 名 ,参数 seqnuwn 是 定义 的 加 密 映 射 序 
号 ,参数 dynamicmap-name 是 已 经 创建 的 动态 加 密 映 射 名 


注 : 粗 体 是 命令 关键 字 ,斜体 是 命令 参数 。 


7.5 ASASS0S SSL VPN 实验 


751 实验 内 容 


互连网 结构 如 图 7. 30 所 示 ,ASA5505 接口 1 连接 分 配 私有 TP 地 址 的 内 部 网 络 。 接 
口 2 连接 Internet, XF Internet 中 的 终端 ,内 部 网 络 是 不 可 见 的 。 因 此 ,Internet 中 的 





路 由 器 RI 的 路 由 表 中 没有 用 于 指明 通 往 内 部 网 络 的 传输 路 径 的 路 由 项 。 





内 部 网 络 中 的 终端 可 以 发 起 访问 Internet 中 的 Web 服务 器 3 的 过 程 。Internet 中 的 
终端 不 能 直接 访问 内 部 网 络 中 的 Web 服务 器 1 和 Web 服务 器 2。 可 以 将 ASA5505 作为 
SSL VPN 网 关 ,Internet 中 的 终端 可 以 通过 SSL VPN 网 关 访 问 内 部 网 络 中 的 Web 服务 器 。 


womg E] 
192.168.1.3 


Web 服 务 器 2 
192.168.1.7 







192.168.1.0/24 


R1 路 由 表 





192.1.1.0/24 1 
192.1.2.0/24 2 











ASA5505 








7.5.2 实验 目的 


(1) 掌握 SSL VPN 网 关 的 工作 原理 。 

(2) 掌握 利用 SSL VPN 网 关 访 问 内 部 网 络 资源 的 过 程 。 
(3) 掌握 ASA5505 的 配置 过 程 。 

(4) 掌握 ASA5505 作为 SSL VPN 网 关 的 工作 过 程 。 


753 实现 原理 


有 三 种 技术 可 以 实现 Internet 中 的 终端 发 起 访问 内 部 网 络 资源 的 过 程 。 一 是 静态 
PAT 或 静态 NAT. ds PAT 需要 事先 建立 某 个 端口 号 与 内 部 网 络 中 某 个 私有 IP 地 址 
之 间 的 静态 映射 。 静 态 NAT 需要 事先 建立 某 个 全 球 IP 地 址 与 内 部 网 络 中 某 个 私有 IP 
地 址 之 间 的 静态 映射 。 二 是 VPN 接 入 。 建 立 VPN 接 入 服务 器 与 Internet 中 的 终端 之 
间 的 虚拟 点 对 点 线路 ,为 Internet 中 的 终端 分 配 内 部 网 络 私有 IP 地 址 ,Internet 中 的 终端 


可 以 像 内 部 网 络 中 的 终端 一 样 访问 内 部 网 络 资源 。 


192.168.1.254 192.1.1.1 
Ec 192.1. B a 


ASA 路 由 表 








目的 网 络 “输出 接口 下 一 跳 
192.168.1.024 — 1 直接 
192.1.1.024 2 直接 
192.1.2.0/24 2. 192 








图 7.30 互连网 结构 
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目的 网 络 — 输出 接口 下 一 跳 
直接 














Web 服 务 器 3 
192.1.2.7 


三 是 SSL VPN WX. Internet 中 的 


终端 通过 登录 SSL VPN 网 关 建 立 与 SSL VPN 网 关 之 间 的 安全 连接 。SSL VPN 网 关 可 
以 为 每 一 个 注册 用 户 分 配 内 部 网 络 资源 的 访问 权限 。 注 册 用 户 登 录 SSL VPN 网 关 后 ， 
可 以 根据 权限 实现 对 内 部 网 络 资源 的 访问 过 程 。 
754 关键 命令 说 明 


1. 定义 网 络 对 象 
以 下 命令 序列 用 于 定义 名 为 al 的 网 络 对 象 。 


ciscoasa (config)fobject network al 


ciscoasa (config-network-object)fsubnet 192.168.1.0 255.255.255.0 


ciscoasa (config-network-object)fexit 


object network al 是 全 局 模式 下 使 用 的 命令 ,该 


al 的 网 络 对 象 ;二 是 进入 网 络 对 象 配置 模式 。 


命令 的 作用 有 两 个 : 一 是 创建 名 为 
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subnet 192.168. 1. 0 255. 255. 255. 0 是 网 络 对 象 配置 模式 下 使 用 的 命令 , (config- 
network-object) 并 是 网 络 对 象 配置 模式 下 的 命令 提示 符 。 该 命令 的 作用 是 指定 CIDR 地 
址 块 192. 168. 1.0/24, 其 中 192. 168. 1. 0 是 CIDR 地 址 块 的 起 始 地 址 ,255. 255. 255. 0 是 
用 于 指定 网 络 前 级 位 数 的 子 网 掩 码 , 指 定 的 网 络 前 缀 位 数 是 24. 

2. 配置 动态 PAT 

以 下 命令 序列 用 于 指定 完成 动态 PAT 的 内 部 网 络 私有 IP 地 址 范围 和 全 球 IP 地址 。 














ciscoasa (config)fobject network al 
ciscoasa (config-network-object)$nat (inside,outside) dynamic interface 


ciscoasa (config-network-object)fexit 


nat (inside.outside) dynamic interface 是 网 络 对 象 配置 模式 下 使 用 的 命令 ,该 命令 
的 作用 是 指定 完成 动态 PAT 所 需 的 参数 。 连 接 内 部 网 络 的 接口 是 名 为 inside 的 接口 , 连 
接 外 部 网 络 的 接口 是 名 为 outside 的 接口 ,需要 进行 动态 PAT 的 内 部 网 络 私有 TP 地 址 范 
围 是 名 为 al 的 网 络 对 象 指定 的 IP 地 址 范围 。 全 球 IP 地 址 是 名 为 outside 的 接口 的 TP 
地 址 。 

3. 配置 扩展 分 组 过 滤器 

以 下 命令 用 于 指定 允许 从 低 安全 级 别 接口 流向 高 安全 级 别 接口 的 IP 分 组 类 别 。 

















ciscoasa (config)faccess-list a extended permit tcp host 192.1.2.7 eq www any 


access-list a extended permit tcp host 192. 1.2. 7 eq www any 是 全 局 模式 下 使 用 的 
命令 ,该 命令 的 作用 是 指定 一 条 属于 名 为 a 的 扩展 分 组 过 滤器 的 规则 。 该 规则 允许 源 IP 
地 址 是 192. 1. 2.7 .目的 卫 地 址 任意 , 净 荷 是 源 端口 号 等 于 80 的 TCP 报 文 的 IP 分 组 通 
过 。 紧 随 源 IP 地 址 的 eq www 用 于 表示 TCP 报 文 的 源 端 口号 等 于 80. 

4. 启动 SSL VPN 

以 下 命令 序列 用 于 启动 SSL VPN. 


ciscoasa (config)#webvpn 
ciscoasa (config-webvpn)#enable outside 


ciscoasa (config-webvpn)#exit 


webvpn 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 进入 WebVPN 配置 模式 。 
enable outside 是 WebVPN 配置 模式 下 使 用 的 命令 , (config-webvpn)# 是 WebVPN fd 
置 模式 下 的 命令 提示 符 。 该 命令 的 作用 是 启动 SSL VPN 网 关 , 且 指定 名 为 outside 的 接 
口 是 访 问 SSL VPN 网 关 的 接口 。 

5. 定义 注册 用 户 

以 下 命令 用 于 定义 名 为 aaal .口令 为 bbbl 的 注册 用 户 。 


ciscoasa (config)#username aaal password bbbl 


username aaal password bbbl 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 定义 一 个 
名 为 aaal .口令 为 bbbl 的 注册 用 户 。 
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755 实验 步骤 


(1) 根据 如 图 7. 30 所 示 的 互连网 结构 放置 和 连接 设备 ,完成 设备 放置 和 连接 后 的 逻 
辑 工作 区 界面 如 图 7.31 所 示 。 
































Web d x 


Server-PT 
Web Server2 


- dE ` » Scenario 0 Fire Last Status 
peee € 
Tm. *Í "m J , 


图 7.31 完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 












































(2) 完成 路 由 器 Routerl 各 个 接口 卫 地 址 和 子 网 掩 码 配置 过 程 。 

(3) 在 CLI( 命 令 行 接口 ) 配 置 方式 下 ,完成 ASA5505 接口 配置 过 程 。 静 态 路 由 项 配 
置 过 程 。 动 态 PAT 配置 过 程 。 扩 展 分 组 过 滤器 配置 过 程 。 

(4) 完成 上 述 配 置 过 程 后 ,内 部 网 络 中 的 终端 PCO 可 以 通过 浏览 器 访问 Web 
Server3 ,如 图 7.32 所 示 。PC0 至 ASA5505 的 IP 分 组 格式 如 图 7. 33 所 示 , 源 IP 地 址 是 
PCO 的 私有 IP 地 址 192. 168. 1. 1, ASA5505 至 Web Server3 的 IP 分 组 格式 如 图 7.34 所 
示 , 源 IP 地址 是 ASA5505 名 为 outside 的 接口 的 IP 地址 192. 1. 1. 1。 除 了 允许 内 部 网 
络 中 的 终端 发 起 访问 Web Server3 的 过 程 以 外 ,禁止 其 他 一 切 内 部 网 络 与 Internet 之 间 
的 通信 过 程 。 

(5) 在 CLI( 命 令 行 接口 ) 配 置 方式 下 ,完成 启动 ASA5505 SSL VPN 网 关 功 能 ,定义 
注册 用 户 的 过 程 。 

(6) 完成 ASA5505 "Config (配置 )”->“Bookmark Manager( 书 签 管理 器 ) 操 作 过 
程 ,弹出 如 图 7. 35 所 示 的 书签 管理 器 配置 界面 ,将 书签 bookmarkl 和 url= http: //192. 
168. 1.3(Web Serverl 的 IP 地 址 ) .书签 bookmark? 和 url — http: //192. 168. 1.7(Web 
Server2 的 IP 地 址 ) 绑 定 在 一 起 。 通 过 为 不 同 的 注册 用 户 绑 定 不 同 书签 ,为 每 一 个 注册 用 
户 分 配 访问 内 部 网 络 资源 的 权限 。 
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图 7.32 PC0 访问 Web Server3 界面 
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SRC IP: 192.168.1.1 
DST IP: 192.1.2.7 
OPT: 0x0 
DATA (VARIABLE LENGTH) 
m 



































IHL DSCP: 0x0 TL: 40 
1D: 0xa 0x2 Oxo 
TTL: 127 PRO: 0x6 CHKSUM 
SRCIP: 192.1.1.1 
DST IP: 192.1.2.7 
OPT: 0x0 
DATA (VARIABLE LENGTH) 
m 
































E] 7.34 ASA5505 Æ Web Server3 的 IP 分 组 格式 
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CLIENTLESS VPN Bookmark Title [bookmark2 URL [http://192.168.1.7 
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http://192. 168. 1.3 
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Ethernet0/3 
Etherneto/4 — |— 
Ethernet0/5 
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Equivalent ASA Commands 


configure mode commands/options: 
password Configure password for the enable command 





ciscoasa(config-webvpn)fenable outside ? 





图 7.35 ASASS0S 书签 管理 器 配置 界面 


(7) 完成 ASA5505“Config( 配 置 )”>“User Manager( 用 户 管理 器 )” 操 作 过 程 ,弹出 
如 图 7. 36 所 示 的 用 户 管理 器 配置 界面 ,将 注册 用 户 名 aaal 和 书签 bookmarkl ,注册 用 户 名 
aaa? 和 书签 bookmark? 绑 定 在 一 起 ,允许 注册 用 户 aaal 访问 url=http://192. 168. 1. 3 的 内 
部 网 络 资源 ,注册 用 户 aaa2 访问 url 二 http://192.168.1.7 的 内 部 网 络 资源 。 用 户 管理 
器 配置 界面 中 的 Profile Name( 描 述 文件 名 ) 和 Group Policy( 组 策略 ) 任 意 ,但 不 同 注册 
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ciscoasalconfig)$ 


图 7.36 ASASS05 用 户 管理 器 配置 界面 
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户 需 要 对 应 不 同 的 Profile Name( 描 述 文件 名 ) 和 Group Policy( 组 策略 ) 。 

(8) 注册 用 户 可 以 通过 Internet 中 的 终端 登录 SSL VPN 网 关 ,SSL VPN 网 关 地 址 
是 名 为 outside 的 接口 的 IP bhk, K 7. 37 所 示 是 PCI 登录 SSL VPN 网 关 的 界面 ,在 浏 
览 器 地 址 栏 中 输入 https://192. 1. 1. 1 ,访问 方式 https 表明 采用 基于 SSL 的 安全 协议 
https,192.1.1.1 是 名 为 outside 的 接口 的 全 地 址 。SSL VPN 弹出 的 登录 界面 如 图 7.37 所 
示 , 要 求 输入 某 个 注册 用 户 对 应 的 用 户 名 和 口令 ,这 里 输入 用 户 名 aaal 和 口令 bbbl 。 





























€ 2. | URL [https://192. 1.1.1 Go Stop 

















User Name: |aaal 











Password: |eeee 


















































7.37. 注册 用 户 登录 SSL VPN 网 关 界 面 


(9) 登录 SSL VPN 网 关 后 的 界面 如 图 7. 38 所 示 ,用 户 名 为 aaal 的 注册 用 户 授权 访 
问 书签 bookmarkl 链接 的 资源 。 书 签 bookmark1l 链接 的 资源 是 url 王 http://192. 168. 1. 3 
的 资源 , 即 内 部 网 络 中 的 Web Serverl 。 单 击 书签 bookmarkl ,弹出 Web Serverl 的 主 
页 ,如 图 7.39 所 示 。 


7.5.6 命令 行 接口 配置 过 程 


1. ASA5505 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


ciscoasa>enable 

Password: 

ciscoasa#configure terminal 

ciscoasa (config)#interface Ethernet0/0 
ciscoasa (config-if)#switchport access vlan 1 
ciscoasa (config-if)#exit 

ciscoasa (config)#interface Ethernet0/1 


ciscoasa (config-if)#switchport access vlan 2 
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7.38 注册 用 户 aaal BEHEA 
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welcome to cisco packet tracer. opening doors to new opportunities. mind wide open. 
































图 7.39 注册 用 户 aaal 授权 访问 的 资源 


ciscoasa (config-if)fexit 


ciscoasa (config) fno dhcpd address 192.168.1.5-192.168.1.35 inside 
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ciscoasa (config)#no dhcpd enable inside 

ciscoasa (config)#no dhcpd auto config outside 

ciscoasa (config)#interface vlan 1 

ciscoasa (config-if)#nameif inside 

ciscoasa (config-if)#security-level 100 

ciscoasa (config-if)#ip address 192.168.1.254 255.255.255.0 
ciscoasa (config-if)fexit 

ciscoasa (config)finterface vlan 2 

ciscoasa (config-if)$nameif outside 

ciscoasa (config-if)fsecurity-level 0 

ciscoasa (config-if)fip address 192.1.1.1 255.255.255.0 

ciscoasa (config-if)fexit 

ciscoasa (config)froute outside 192.1.2.0 255.255.255.0 192.1.1.2 
ciscoasa (config)fobject network al 

ciscoasa (config-network-object)fsubnet 192.168.1.0 255.255.255.0 
ciscoasa (config-network-object)fexit 

ciscoasa (config)fobject network al 

ciscoasa (config-network-object)fnat (inside,outside) dynamic interface 
ciscoasa (config-network-object)fexit 

ciscoasa (config)faccess-list a extended permit tcp host 192.1.2.7 eq www any 
ciscoasa (config)faccess-group a in interface outside 

ciscoasa (config) fwebvpn 

ciscoasa (config-webvpn)fenable outside 

ciscoasa (config-webvpn)fexit 

ciscoasa (config)fusername aaal password bbbl 


ciscoasa (config)fusername aaa2 password bbb2 


注 : 进入 特权 模式 的 默认 口令 是 Enter。 
2. 路 由 器 Routerl 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router>enable 

Router# configure terminal 

Router (config)finterface FastEthernet0/0 

Router (config-if)#no shutdown 

Router (config-if)fip address 192.1.1.2 255.255.255.0 
Router (config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)f$no shutdown 

Router (config-if)fip address 192.1.2.254 255.255.255.0 


Router (config-if)fexit 


3. 命令 列表 
ASA5505 命令 行 接 口 配置 过 程 中 使 用 的 命令 及 功能 和 参数 说 明 如 表 7. 5 所 示 。 


命令 格式 
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表 7.5 命令 列表 
功能 和 参数 说 明 





object network name 


创建 名 为 name 的 网 络 对 象 ,并 进入 网 络 对 象 配置 模式 





subnet IPv4_address IPv4 mask 


为 网 络 对 象 定义 子 网 ,其 中 参数 IPv4_address 是 子 网 的 网 络 地 
址 ,参数 IPv4_mask 是 子 网 的 子 网 掩 码 





nat (real ifc,mapped_ifc) 
dynamic interface 


定义 动态 PAT, 参 数 real. ifc 指定 连接 内 部 网 络 的 接口 ,参数 
mapped_ifc 指定 连接 外 部 网 络 的 接口 。 全 球 IP 地 址 是 连接 外 部 
网 络 的 接口 的 IP 地 址 。 由 网 络 对 象 指定 需要 进行 动态 PAT 的 内 
部 网 络 IP 地址 范围 





webvpn 


进入 WebVPN 配置 模式 





enable i fname 


access-list access_list_name 
extended {deny | permit) (tcp | 
udp } source address argument 
[port argument] dest. address _ 
argument L port argument] 





在 指定 接口 上 启动 WebVPN, £3 ifname 是 接口 名 。 一 旦 在 某 
个 接口 上 启动 WebVPN, 则 可 以 通过 该 接口 的 IP 地址 访问 SSL 
VPN 网 关 


定义 一 条 属于 扩展 分 组 过 滤器 的 规则 。 参 数 access. list. name 是 
扩展 分 组 过 滤器 名 ;参数 source_address_argument 指定 源 IP 地 
址 ; 源 IP 地 址 后 的 参数 [port_argument] 指 定 源 端口 号 ;参数 dest 
address argument 指定 目的 IP 地 址 ;目的 IP 地 址 后 的 参数 [port_ 
argument] 指 定 目的 端口 号 。permit 表示 正常 转发 ,deny 表示 丢弃 


i. 粗 体 是 命令 关键 字 , 斜 体 是 命令 参数 。 


防火 墙 实验 


Cisco 防火 墙 分 为 两 类 : 一 类 是 专业 防火 墙 ,如 ASA5505; 另 一 类 是 具有 防火 墙 功能 
的 路 由 器 。 路 由 器 通常 支持 无 状态 分 组 过 滤器 ,有 状态 分 组 过 滤器 和 基于 分 区 防火 墙 等 
安全 功能 。 无 状态 分 组 过 滤器 分 为 标准 分 组 过 滤器 和 扩展 分 组 过 滤器 。ASA5505 在 分 
区 的 基础 上 ,支持 扩展 分 组 过 滤器 和 服务 策略 等 安全 功能 。 


8.1 标准 分 组 过 滤器 实验 


8.1.1 实验 内 容 


互连网 结构 如 图 8. 1 所 示 , 为 了 防止 终端 实施 源 IP 地 址 欺骗 攻击 ,路 由 器 每 一 个 接 
口 只 允许 输入 源 TP 地 址 属于 该 接口 连接 的 网 络 的 网 络 地 址 的 IP 分 组 。 如 路 由 器 R1 接 
口 1 连接 的 网 络 的 网 络 地 址 是 192. 1. 1. 0/24 ,路 由 器 RI 接口 1 只 允许 输入 源 TP 地 址 属 
于 网 络 地 址 192.1.1.0/24 的 IP 分 组 。 


192.1.1.0/24 192.1.3.0/24 





























图 8.1 互连网 结构 


8.1.2 实验 目的 


(1) 验证 标准 分 组 过 滤器 过 滤 IP 分 组 的 原理 和 过 程 。 
(2) 验证 路 由 器 标准 分 组 过 滤器 的 配置 过 程 。 
(3) 验证 标准 分 组 过 滤器 防御 源 IP 地 址 欺骗 攻击 的 原理 和 过 程 。 


813 实验 原理 


路 由 器 R1 接口 1 和 接口 2. 路 由 器 R2 接口 2 和 接口 3 的 输入 方向 配置 只 允许 输入 
i IP 地 址 属于 该 接口 连接 的 网 络 的 网 络 地 址 的 TP. 分 组 的 标准 分 组 过 滤器 ,使 这 些 接口 
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连接 的 网 络 中 的 终端 无 法 冒 用 其 他 网 络 的 TP 地 址 。 
8.1.4 关键 命令 说 明 
1. 定义 标准 分 组 过 滤器 


以 下 命令 序列 用 于 定义 一 个 只 允许 输入 源 IP 地 址 属于 网 络 地 址 192. 1. 1. 0/24 的 
IP 分 组 的 标准 分 组 过 滤器 。 


Router (config)#access-list 1 permit 192.1.1.0 0.0.0.255 


Router (config)faccess-list 1 deny any 


access-list 1 permit 192. 1. 1.0 0.0.0. 255 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 
是 指定 一 条 属于 编号 为 1 的 标准 分 组 过 滤器 的 规则 。 该 规则 中 ,1 是 编号 ,标准 分 组 过 滤 
器 允许 的 编号 范围 是 1 一 99, 所 有 属于 同一 标准 分 组 过 滤器 的 规则 必须 有 着 相同 的 编号 。 
permit 是 对 符合 条 件 的 IP 分 组 实施 的 动作 ,该 动作 是 允许 符合 条 件 的 TP 分 组 继续 传输 。 
192.1.3.0 0.0.0.255 定义 源 IP 地 址 范围 ,其 中 192. 1. 1. 0 是 网 络 地 址 ,也 是 CIDR 地 址 
块 的 起 始 地 址 ,0. 0. 0. 255 是 子 网 掩 码 255.255. 255. 0 的 反 码 。 两 者 一 起 将 源 IP 地 址 范 
围 定义 为 CIDR 地 址 块 192. 1. 1.0/24, 表 明 该 规则 的 条 件 是 源 IP 地 址 属于 CIDR 地 址 块 
192. 1.1.0/24。 综 上 所 述 ,这 条 规则 的 含义 是 ,允许 源 IP 地 址 属于 CIDR 地 址 块 192. 1. 
1.0/24 的 IP 分 组 继续 传输 。 

access-list 1 deny any 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 同样 是 指定 一 条 属于 
编号 为 1 的 标准 分 组 过 滤器 的 规则 。 该 规则 中 ,1 是 编号 ,相同 编号 的 规则 属于 同一 标准 
分 组 过 滤器 。deny 是 对 符合 条 件 的 IP 分 组 实施 的 动作 ,该 动作 是 丢弃 符合 条 件 的 IP 分 
组 。any 表示 源 IP 地址 范围 是 任意 范围 。 这 条 规则 的 含义 是 ,丢弃 源 IP 地 址 是 任何 地 
址 的 IP 分 组 。 

标准 分 组 过 滤器 中 的 规则 是 有 顺序 的 ,如 果 某 个 IP 分 组 符合 第 一 条 规则 的 条 件 , 则 
对 该 IP 分 组 实施 第 一 条 规则 规定 的 动作 ,不 再 用 其 他 规则 的 条 件 检测 该 TP 分 组 。 如 果 
该 IP 分 组 不 符合 第 一 条 规则 的 条 件 , 则 用 第 二 条 规则 的 条 件 检测 该 IP 分 组 。 如 果 该 IP 
分 组 符合 第 二 条 规则 的 条 件 , 则 对 该 卫 分 组 实施 第 二 条 规则 规定 的 动作 ,不 再 用 其 他 规 
则 的 条 件 检测 该 了 P 分 组 , 依 此 类 推 。 

对 于 由 上 述 两 条 规则 组 成 的 标准 分 组 过 滤器 ,由 于 所 有 IP 分 组 符合 第 二 条 规则 的 条 
件 , 因 此 ,该 标准 分 组 过 滤器 实现 的 功能 是 ,如 果 某 个 P 分 组 的 源 TP 地 址 属于 CIDR 地 
址 块 192. 1. 1. 0/24, 则 继续 传输 该 IP 分 组 ,否则 丢弃 该 IP 分 组 。 

2. 将 标准 分 组 过 滤器 作用 到 路 由 器 接口 

以 下 命令 序列 用 于 将 编号 为 1 的 标准 分 组 过 滤器 作用 到 路 由 器 接口 
FastEthernet0/0, 


Router (config)finterface FastEthernet0/0 
Router (config-if)#ip access-group 1 in 


Router (config-if)fexit 


ip access-group 1 in 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 将 编号 为 1 的 
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q” 














标准 分 组 过 滤器 作用 到 指定 路 由 器 接口 (这 里 是 FastEthernet0/0) 的 输入 方向 ,其 中 1 是 
标准 分 组 过 滤器 编号 ,in 表明 输入 方向 。 


815 实验 步骤 


(1) 根据 如 图 8. 1 所 示 的 互连网 结构 放置 和 连接 设备 ,完成 设备 放置 和 连接 后 的 逻 
辑 工作 区 界面 如 图 8. 2 所 示 。 
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Connections New | Delete 


Aagesge * | | Toggle PDU List Window | | 


Copper Straght-Through. 

















图 8.2 完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 


(2) 完成 路 由 器 各 个 接口 IP 地 址 和 子 网 掩 码 配 置 过 程 ,完成 路 由 器 RIP 配置 过 程 。 
完成 上 述 配置 过 程 后 ,路 由 器 Routerl 和 Router2 的 路 由 表 分 别 如 图 8. 3 和 图 8.4 所 示 。 


Network Port Next Hop IP Metric 
192.1.1.0/24 FastEthernet0/0 
192. 1.2. 0/24 FastEthernet0/1 
192. 1.3. 0/24 FastEthernet1/0 
192. 1.4. 0/24 FastEthernet1/0 
192. 1.5. 0/24 FastEthernet1/0 








m 


图 8.3 路 由 器 Routerl 825 


Network Port Next Hop IP 
192.1.1.0/24 FastEthernet0/0 192.1.5.254 
192.1.2.0/24 FastEthernet0/0 192.1.5.254 


192. 1.3.0/24 FastEthernet0/1 
192. 1. 4.0/24 FastEthernet1/0 


192. 1.5.0/24 FastEthernet0/0 
" 











图 8.4 路 由 器 Router2 的 路 由 表 


(3) 完成 各 个 终端 的 网 络 信息 配置 过 程 ,PC0 配置 的 网 络 信息 如 图 8. 5 所 示 。 
(4) 切换 到 模拟 操作 模式 ,在 PCO 上 创建 ICMP 报 文 ,封装 该 ICMP 报 文 的 IP 分 组 
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IP Configuration 
IP Configuration 
© DHCP @ Static 








IP Address 192.1.1.1 








Subnet Mask 255.255.255.0 








Default Gateway 192.1.1.254 








DNS Server 





IPv6 Configuration 
© DHCP © Auto Config &) Static 








IPv6 Address 














Link Local Address ^ |FEB0::20A:41FF:FED9:61E9 








IPv6 Gateway 








IPv6 DNS Server 





























图 8.5 PC0 配置 的 网 络 信息 


的 源 和 目的 IP 地 址 如 图 8.6 所 示 ,目的 TP 地 址 是 PC3 的 IP 地 址 192. 1. 4. 1, 源 IP 地 址 
是 伪造 的 IP 地 址 192. 1. 6. 1(PC0 的 IP 地 址 是 192.1.1.1)。 启 动 该 IP 分 组 PC0 至 PC3 
的 传输 过 程 , 路 由 器 Routerl 接口 FastEthernet0/0 输入 方向 允许 输入 该 IP 分 组 ， 
Routerl 正常 转发 该 IP 分 组 ,如 图 8. 7 所 示 。 


Source Settings 


Source Device: PCO 
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图 8.6 PCO 上 创建 的 ICMP 报 文 
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(5) 切换 到 实时 操作 模式 ,在 CLI( 命 令 行 接口 ) 配 置 方式 下 ,完成 路 由 器 Routerl 标 
准 分 组 过 滤器 配置 过 程 ,并 将 其 作用 到 接口 FastEthernet0/0 输入 方向 ,使 路 由 器 
Routerl 只 允许 继续 转发 源 IP 地 址 属于 CIDR 地 址 块 192.1.1.0/24 的 IP 分 组 。 

(6) 切换 到 模拟 操作 模式 ,在 PCO 上 创建 ICMP 报 文 ,封装 该 ICMP 报 文 的 IP 分 组 
启动 该 IP 分 组 PC0 至 PC3 的 传输 过 程 ,路 由 器 
Routerl 接口 FastEthernet0/0 输入 方向 丢弃 该 IP 分 组 ,如 图 8. 8 所 示 。 丢 弃 原因 如 
图 8.9 所 示 , 该 全 分 组 符合 属于 编号 为 1 的 标准 分 组 过 滤器 , 且 动 作 是 deny、 条 件 是 any 


的 源 和 目的 IP 地址 如 图 8. 6 所 示 。 


的 规则 。 


Copper Straight-Through. 


816 命令 行 接口 配置 过 程 
1，Routerl 命令 行 接口 配置 过 程 


命令 序列 如 下 : 


Router>enable 


Router#configure terminal 


49 Inprogress PCO 








Toggle POU List Window | |, 一 一 一 一 


图 8.7 Routerl 正常 转发 伪造 源 IP 地 址 的 IP 分 组 


Router (config)#interface FastEthernet0/0 


Router (config-if)#no shutdown 


Router (config-if)fip address 192.1.1.254 255.255.255.0 


Router (config-if)fexit 


Router (config)finterface FastEthernet0/1 


Router (config-if)#no shutdown 


Router (config-if)fip address 192.1.2.254 255.255.255.0 
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Scenario 0 


Fire LastStatus Source Destination! 
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At Device: Routerl 
Source: PCO 
Destination: 192.1.4.1 


In Layers 


Out Layers 


ap 


Layer 3: IP Header Src. IP: 192.1.6.1, 
Dest. IP: 192.1.4.1 ICMP Message 
Type: 8 


Layer 2: Ethernet II Header 
000A.41D9.61E9 >> 0030.A380.3501, 


Layer 1: Port FastEthernet0/0 





1. The receiving port has an inbound traffic access-list with an ID of 1. The 
device checks the packet against the access-list. 


2. The packet matches the criteria of the following statement: deny any. The 


packet is denied and dropped. 


Challenge Me 


Next Layer >> 





图 8.9 Routeri 丢弃 伪造 源 IP 地 址 的 IP 分 组 的 原因 


Router (config-if)fexit 


Router (config)finterface FastEthernetl/0 


Router (config-if)f$no shutdown 


Router (config-if)fip address 192.1.5.254 255.255.255.0 
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Router (config-if)fexit 

Router (config)frouter rip 

Router (config-router)f&network 192.1.1.0 

Router (config-router)f&network 192.1.2.0 

Router (config-router)f&network 192.1.5.0 

Router (config-router)fexit 

Router (config)faccess-list 1 permit 192.1.1.0 0.0.0.255 
Router (config)faccess-list 1 deny any 

Router (config)faccess-list 2 permit 192.1.2.0 0.0.0.255 
Router (config)faccess-list 2 deny any 

Router (config)finterface FastEthernet0/0 

Router (config-if)fip access-group 1 in 

Router (config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)fip access-group 2 in 


Router (config-if)fexit 


2, Router2 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router>enable 

Router#configure terminal 

Router (config)#interface FastEthernet0/0 

Router (config-if)#no shutdown 

Router (config-if)#ip address 192.1.5.253 255.255.255.0 
Router (config-if)#exit 

Router (config)#interface FastEthernet0/1 

Router (config-if)#no shutdown 

Router (config-if)#ip address 192.1.3.254 255.255.255.0 
Router (config-if)#exit 

Router (config)#interface FastEthernet1/0 

Router (config-if)#no shutdown 

Router (config-if)#ip address 192.1.4.254 255.255.255.0 
Router (config-if)fexit 

Router (config)frouter rip 

Router (config-router)$network 192.1.3.0 

Router (config-router)f$network 192.1.4.0 

Router (config-router)f$network 192.1.5.0 

Router (config-router)fexit 

Router (config)faccess-list 1 permit 192.1.3.0 0.0.0.255 
Router (config)faccess-list 1 deny any 

Router (config)faccess-list 2 permit 192.1.4.0 0.0.0.255 
Router (config)faccess-list 2 deny any 


Router (config)finterface FastEthernet0/1 


Router (config-if)fip access-group 1 in 


Router (config-if)fexit 


Router (config)finterface FastEthernetl/0 


Router (config-if)fip access-group 2 in 


Router (config-if)fexit 


3. 命令 列表 
路 由 器 命令 行 接口 配置 过 程 中 使 用 的 命令 及 功能 和 参数 说 明 如 表 8. 1 所 示 。 


表 8.1 命令 列表 
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命令 格式 


功能 和 参数 说 明 





access-list access-List-number. (deny | 
permit) source [source 
wildcard] 


配置 标准 分 组 过 滤器 的 规则 ,其 中 参数 access list-number 指定 该 
规则 所 属 的 标准 分 组 过 滤器 的 编号 ,deny 和 permit 是 对 符合 规则 
条 件 的 IP 分 组 实施 的 动作 ,permit 允许 继续 传输 ,deny 表示 丢弃 。 
条 件 source [source-wildcard ] 可 以 有 三 种 表示 方式 ,一 是 host 和 
IP 地址 ,表示 唯一 的 IP 地 址 ;二 是 网 络 地 址 和 子 网 掩 码 反 码 ,表示 
CIDR 地 址 块 ;三 是 any, 表 示 任 意 IP 地址 





ip access-group access list-number 
{in | out} 





方向 
注 : 粗 体 是 命令 关键 字 ,斜体 是 命令 参数 。 


将 编号 由 参数 accesslist-number 指定 的 标准 分 组 过 滤器 作用 到 指 
定 路 由 器 接口 的 输入 或 输出 方向 ,in 表示 输入 方向 ,out 表示 输出 


8.2 扩展 分 组 过 滤器 实验 


8.2.1 实验 内 容 


互连网 结构 如 图 8. 10 Bros ,分 别 在 路 由 器 R1 接口 1 输入 方向 和 路 由 器 R2 接口 2 
输入 方向 设置 扩展 分 组 过 滤器 ,实现 只 允许 终端 A 访问 Web 服务 器 ,终端 也 访问 FTP 
服务 器 ,禁止 其 他 一 切 网 络 间 通 信 过 程 的 安全 策略 。 





192.1.1.0/24 192.1.2.0/24 
H—9»—« e—— 2] 
RI R2 
FTP 服 务 器 Web 服 务 器 
192.1.1.7/24 加 O I1 [3 192.1.2.7/24 
终端 A 终端 B 
192.1.1.1/24 192.1.2.1/24 
图 8.10 互连网 结构 


8.2.2 实验 目的 


(1) 验证 扩展 分 组 过 滤器 的 配置 过 程 。 





(2) 验证 扩展 分 组 过 滤器 实现 访问 控制 策略 的 过 程 。 
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(3) 验证 过 滤 规 则 设置 原则 和 方法 。 
(4) 验证 过 滤 规 则 作用 过 程 。 


8.2.3 实验 原理 


为 了 实现 只 允许 终端 A 访问 Web 服务 器 ,终端 也 访问 FTP 服务 器 ,禁止 其 他 一 切 
网 络 间 通 信 过 程 的 安全 策略 ,需要 在 路 由 器 RI 接口 1 输入 方向 配置 如 下 过 滤 规 则 集 。 

QD 协议 类 型 =TCP, 源 IP 地址 ==192. 1. 1. 1/32, 源 端口 号 = * ,目的 TP 地 址 = 
192.1.2.7/32, 目 的 端口 号 =80; 正 常 转发 。 

© 协议 类 型 =TCP, 源 IP Jl db = 192. 1. 1. 7/32. 源 端 口号 =21, 目 的 IP 地 址 = 
192. 1.2.1/32, 目 的 端口 号 = * ;正常 转发 。 

@ 协议 类 型 =TCP, 源 IP 地 址 王 192. 1. 1. 7/32, 源 端口 号 之 1024, 目 的 IP 地址 = 
192.1.2.1/32, 目 的 端口 号 = * ;正常 转发 。 

@ 协议 类 型 = x , 源 IP 地 址 =any, 目 的 IP Jib — any: £ 5i. 

同样 ,需要 在 路 由 器 R2 接口 2 输入 方向 配置 如 下 过 滤 规 则 集 。 

(D 协议 类 型 =TCP, 源 IP 地 址 = 192. 1. 2. 1/32. 源 端口 号 = * ,目的 TP 地 址 = 
192.1.1.7/32, 目 的 端口 号 三 21; 正 常 转 发 。 

@ 协议 类 型 =TCP, 源 IP 地 址 ==192. 1. 2. 1/32, 源 端口 号 = * ,目的 IP 地 址 = 
192. 1.1. 7/32, HRS 157 1024 EHR. 

@ 协议 类 型 =TCP, 源 IP Hi dk = 192. 1. 2. 7/32. 源 端口 号 =80, 目 的 IP 地 址 = 
192. 1.1.1/32, 目 的 端口 号 = * ;正常 转发 。 

@ 协议 类 型 = x , 源 IP 地 址 =any, 目 的 IP 地 址 ==any; 丢 弃 。 

条 件 " 协 议 类 型 =TCP? 是 指 IP 分 组 首部 中 的 协议 字段 值 是 TCP 对 应 的 协议 字段 值 
(6) 。“ 协 议 类 型 = * "是 指 IP 分 组 首部 中 的 协议 字段 值 可 以 是 任意 值 。“ 源 端口 号 = 
21” 是 指 源 端口 号 字段 值 必须 等 于 21。“ 源 端口 号 二 * ”是 指 源 端口 号 字段 值 可 以 是 任意 
值 .“ 源 IP 地 址 王 192. 1.2.7/32? 是 指 IP 分 组 首部 中 的 源 TP. 地 址 必须 等 于 192. 1. 2.7。 
“W IP 地址 =any” 是 指 IP 分 组 首部 中 的 源 IP 地 址 可 以 是 任意 值 。 

路 由 器 R1 接口 1 输入 方向 过 滤 规 则 外 表明 ,只 允许 与 终端 A 以 HTTP 访问 Web 
服务 器 的 过 程 有 关 的 TCP 报 文 继续 正常 转发 。 过 滤 规 则 @ 表 明 , 只 允许 属于 FTP 服务 
器 和 终端 B 之 间 控 制 连接 的 TCP 报 文 继续 正常 转发 。 过 滤 规 则 @@ 表 明 , 只 人 允许 属于 
FTP 服务 器 和 终端 了 之 间 数 据 连接 的 TCP 报 文 继续 正 常 转发 。 由 于 FTP 服务 器 是 被 
动 打开 的 ,因此 ,数据 连接 FTP 服务 器 端的 端口 号 是 不 确定 的 ,FTP 服务 器 在 大 于 1024 
的 端口 号 中 随机 选择 一 个 端口 号 作为 数据 连接 的 端口 号 。 过 滤 规 则 @ 表 明 ,丢弃 所 有 不 
符合 上 述 过 滤 规 则 的 IP 分 组 。 路 由 器 R2 接口 2 输入 方向 过 滤 规则 集 的 作用 与 此 相似 。 


8.2.4 关键 命令 说 明 
1. 配置 扩展 分 组 过 滤器 规则 集 


以 下 命令 序列 用 于 配置 扩展 分 组 过 滤器 规则 集 。 规 则 配置 顺序 就 是 规则 在 规则 集中 
的 顺序 。 
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Router (config)faccess-list 101 permit tcp host 192.1.1.1 host 192.1.2.7 eq www 
Router (config)faccess-list 101 permit tcp host 192.1.1.7 eq ftp host 192.1.2.1 
Router (config)faccess-list 101 permit tcp host 192.1.1.7 gt 1024 host 192.1.2.1 


Router (config)faccess-list 101 deny ip any any 


access-list 101 permit tcp host 192. 1. 1. 1 host 192. 1.2. 7 eq www 是 全 局 模式 下 使 
用 的 命令 ,该 命令 的 作用 是 指定 扩展 分 组 过 滤器 规则 集中 的 其 中 一 个 规则 。101 是 扩展 
分 组 过 滤器 编号 ,所 有 属于 同一 扩展 分 组 过 滤器 规则 集 的 规则 有 着 相同 的 编号 。 该 规则 
对 应 “@ 协 议 类 型 =TCP, 源 IP 地 址 ==192. 1. 1. 1/32, 源 端口 号 = 二 x* ,目的 TP 地 址 =192. 
1.2.7/32, 目 的 端口 号 =80; 正 常 转发 ”。permit 是 规则 指定 的 动作 ,表示 允许 与 该 规则 
匹配 的 IP 分 组 输入 或 输出 。tcp 是 IP 分 组 首部 中 协议 类 型 字段 值 对 应 的 协议 ,表示 IP 
分 组 净 荷 是 TCP 报 文 。host 192. 1. 1. 1, 表 示 源 IP 地 址 是 唯一 的 IP 地 址 192. 1. 1. 1 。 
host 192. 1. 1.1 可 以 用 IP 地 址 192. 1. 1. 1 ALHET 0. 0.0.0 表示 。host 192. 1.2.7 表示 
目的 他 地 址 是 唯一 的 下 地 址 192. 1. 2. 7, 同 样 ,host 192. 1. 2. 7 可 以 用 他 地 址 192. 1. 2.7 
和 反 掩 码 0.0.0.0 表示 。eq 是 操作 符 , 表 示 等 于 。www 是 http 对 应 的 著名 端口 号 80。 
目的 IP 地 址 后 给 出 的 端口 号 是 目的 端口 号 ,因此 eq www 表示 目的 端口 号 等 于 80。 源 
IP 地 址 后 没有 指定 端口 号 ,表示 源 端 口号 可 以 是 任意 值 。 与 该 规则 匹配 的 TP. 分 组 必须 
符合 以 下 条 件 : W IP 地 址 等 于 192.1.1.1, 目 的 也 地 址 等 于 192.1.2.7,IP 分 组 首部 协 
议 字段 值 等 于 TCP, 且 净 荷 是 目的 端口 号 等 于 80 的 TCP 报 文 。 对 与 该 规则 匹配 的 IP 分 
组 实施 的 动作 是 允许 输入 或 输出 。 与 该 命令 等 同 的 命令 是 access-list 101 permit tep 
192, 1.1.1 0.0.0.0 192.1.2.7 0.0.0.0 eq 80, 该 规则 是 规则 集中 的 第 一 条 规则 。 

access-list 101 permit tcp host 192. 1. 1. 7 eq ftp host 192. 1. 2. 1 指定 的 规则 对 应 *@ 
协议 类 型 =TCP, 源 IP Jh — 192. 1. 1.7/32, 源 端口 号 =21, 目 的 IP 地 址 =192.1.2.1/ 
32, 目 的 端口 号 三 x ;正常 转发 ”, 与 该 规则 匹配 的 IP 分 组 必须 符合 以 下 条 件 : 源 TP 地 址 
等 于 192.1.1.7, 目 的 JP 地 址 等 于 192.1.2.1,IP 分 组 首部 协议 字段 值 等 于 TCP, 且 净 荷 
是 源 端 口号 等 于 21 的 TCP 报 文 。 对 与 该 规则 匹配 的 TP. 分 组 实施 的 动作 是 允许 输入 或 
输出 ,该 规则 是 规则 集中 的 第 二 条 规则 。 

access-list 101 permit tcp host 192. 1. 1.7 gt 1024 host 192. 1. 2. 1 指定 的 规则 对 应 
“@ 协 议 类 型 =TCP, 源 TP 地址 ==192. 1. 1. 7/32 Wm 1597 1024, HAY TP Jib — 192. 1. 2. 1/ 
32, 目 的 端口 号 = * ;正常 转发 ”, 与 该 规则 匹配 的 IP 分 组 必须 符合 以 下 条 件 : 源 IP 地 址 
等 于 192. 1.1.7, 目 的 IP 地 址 等 于 192.1.2.1,IP 分 组 首部 协议 字段 值 等 于 TCP , 且 净 荷 
是 源 端口 号 大 于 1024 的 TCP 报 文 。 对 与 该 规则 匹配 的 TP 分 组 实施 的 动作 是 允许 输入 
或 输出 ,该 规则 是 规则 集中 的 第 三 条 规则 。 

access-list 101 deny ip any any 指定 的 规则 对 应 *@ 协 议 类 型 = x , 源 TP Jib — any. 
目的 了 PP 地址 二 any; 丢 弃 ”, * 表示 任意 协议 字段 值 ,any 表示 所 有 IP 地 址 ,因此 ,any 可 以 
JH IP 地 址 0.0.0. 0 fU MER 255. 255. 255. 255 代替 ,所 有 IP 分 组 都 与 该 规则 匹配 ,对 与 
该 规则 匹配 的 IP. 分 组 实施 的 动作 是 丢弃 。 与 该 命令 等 同 的 命令 是 access-list 101 deny 
ip 0. 0. 0. 0 255. 255. 255. 255 0. 0. 0. 0 255. 255. 255. 255, 该 规则 是 规则 集中 的 第 四 条 
规则 。 
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值得 强调 的 是 , IP 分 组 按照 规则 顺序 ,对 规则 逐个 进行 匹配 ,一 旦 与 某 个 规则 匹配 ， 
则 执行 该 规则 指定 的 动作 ,不 再 匹配 后 续 规 则 。 

2. 将 规则 集 作 用 到 某 个 接口 

命令 序列 如 下 : 


Router (config)#interface FastEthernet0/0 
Router (config-if)#ip access-group 101 in 


Router (config-if)#exit 

ip access-group 101 in 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 将 编号 为 101 
的 扩展 分 组 过 滤器 作用 到 路 由 器 接口 FastEthernet0/0 输入 方向 ,参数 101 是 扩展 分 组 过 
滤器 编号 ,参数 in 表示 输入 方向 。 路 由 器 接口 输入 /输出 方向 以 路 由 器 为 准 , 外 部 至 路 由 
器 为 输入 ,路 由 器 至 外 部 为 输出 。 


825 实验 步骤 


(1) 根据 如 图 8. 10 所 示 互 连 网 结构 放置 和 连接 设备 ,完成 设备 放置 和 连接 后 的 馆 辑 
工作 区 界面 如 图 8.11 所 示 。 完 成 路 由 器 Routerl 和 Router2 各 个 接口 的 配置 过 程 ,完成 
各 台 路 由 器 RIP 配置 过 程 。 完 成 上 述 配置 过 程 后 的 路 由 器 Routerl 和 Router2 路 由 表 分 
别 如 图 8. 12 和 图 8. 13 所 示 。 完 成 各 个 终端 和 服务 器 网 络 信息 配置 过 程 ,验证 终端 和 终 
端 之 间 ,终端 和 服务 器 之 间 、 服 务 器 和 服务 器 之 间 的 连通 性 。 
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图 8.11 完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 


(2) 在 CLI( 命 令 行 接口 ) 配 置 方式 下 ,完成 路 由 器 Routerl 编号 为 101 的 扩展 分 组 过 
滤器 的 配置 过 程 ,并 将 其 作用 到 路 由 器 接口 FastEthernet0/0 输入 方向 。 完 成 路 由 器 
Router 编号 为 101 的 扩展 分 组 过 滤器 的 配置 过 程 ,并 将 其 作用 到 路 由 器 接口 


Routing Table for Routeri 
Network. 

192. 1.1.0/24 

192.1.2.0/24 

192.1.3.0/24 


Network. 
182.1. 1.0/24 
182.1.2.0/24 
182.1.3.0/24 


Port 
FastEthernet0/0 
FastEthernet0/1 
FastEthernet0/1 


Port 
FastEthernet0/0 
FastEthernet0/1 
FastEthernet0/0 
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Next Hop IP 


192.1.3.2 


图 8.13 路 由 器 Router2 路 由 表 


FastEthernet0/1 输入 方向 。 


(3) 验证 不 同 网 络 的 终端 之 间 和 服务 器 之 间 不 能 ping 通 。PC0 发 送 给 Web 服务 器 
的 ICMP 报 文 ,封装 成 IP 分 组 后 沿 PCO 至 Web 服务 器 的 TP. 传输 路 径 传输 ,到 达 路 由 器 
Routerl 接口 FastEthernet0/0 时 ,被 路 由 器 Routerl ER. WA 8. 14 pz. E S DS] i 
图 8. 15 所 示 , 被 编号 为 101 的 扩展 分 组 过 滤器 丢弃 。 
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8.14 路 由 器 Routerl 丢弃 PC0 发 送 给 Web 服务 器 的 ICMP $8 x 


(4) 允许 PC0 通过 浏览 器 访问 Web 服务 器 ,如 图 8. 16 所 示 。FTP 服务 器 配置 界面 


AD MBLAR 


OSI Model 





At Device: Router1 
Source: PCO 
Destination: WEB Server 


In Layers 


Layer 3: IP Header Src. IP: 192.1.1.1, 
Dest. IP: 192.1.2.7 ICMP Message 
Type: 8 

Layer 2: Ethernet II Header 
00E0.F998.C7C2 >> 
0007.EC37.CE01 


Layer 1: Port FastEthernet0/0 





1. The receiving port has an inbound traffic access-list with an ID of 101. The 
device checks the packet against the access-list. 

2. The packet matches the criteria of the following statement: deny ip any any. 
The packet is denied and dropped. 


isle 





图 8.15 路 由 器 Routerl 丢弃 PCO 发 送 给 Web 服务 器 的 ICMP 报 文 的 原因 


如 图 8. 17 所 示 ,创建 两 个 用 户 名 分 别 为 aaa 和 cisco 的 授权 用 户 ,授权 用 户 的 访问 权限 是 
全 部 操作 功能 。PC2 访问 FTP 服务 器 的 过 程 如 图 8. 18 所 示 。 


| Physical | Config | Desktop | Software/Services 








Web Browser 


URL [http://192.1.2.7 | 
Cisco Packet Tracer 











Welcome to Cisco Packet Tracer. Opening doors to new opportunities. Mind Wide 
Open. 


Quick Links: 

A small page 

Copyrights 

Image page - 
Image. 











图 8.16 PCO 成 功 访问 Web 服务 器 界面 











(5) 如 果 要 求实 现 只 允许 PC2 发 起 访问 FTP 服务 器 的 访问 控制 策略 ,应 该 实施 以 下 
信息 交换 控制 机 制 ,必须 在 PC2 向 FTP 服务 器 发 送 了 FTP 请 求 消息 后 ,才能 由 FTP 服 
务 器 向 PC2 发 送 对 应 的 FTP 响应 消息 。 为 此 ,在 作用 到 路 由 器 Routerl 接口 
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© FIP Server DER 


Physical | Config || Services || Desktop | Software/Services 


SERVICES FTp 


Service @ On 
DHCPY6 
User Setup 


Username Password 


口 write 口 Read E] Delete C Rename  []List 


Username Password Permission 


SYSLOG 


EMAIL 1 aaa bbb RIDNL. 


FTP 
2 RIDNL. 


as2542-k. bin 
cl841-advipservi cesk9-nz. 124-15. T1. bin 
cl841-ipbase7nz. 123-14. TT. bin 


el841-ipbasejkg-nz. 124-12. bin 


Remove 



































图 8.17 FTP 服务 器 配置 界面 


Physical | Config | Desktop | Software/Services 
FT 人 同居 M n 














图 8.18 PC2 访问 FIP 服务 器 过 程 
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FastEthernet0/0 输入 方向 的 编号 为 101 的 扩展 分 组 过 滤器 中 设置 了 规则 @@ 和 @ ,设置 这 
两 个 规则 的 目的 是 只 允许 FTP 服务 器 向 PC2 发 送 FTP 响应 消息 ,但 扩展 分 组 过 滤器 中 
的 规则 @ 和 @ 并 不 能 实现 这 一 控制 功能 。TCP 报 文 如 图 8. 19 所 示 ,该 TCP 报 文 并 不 是 
FTP 服务 器 发 送 给 PC2 的 FTP 响应 消息 ,但 与 规则 加 匹配 ,因此 被 允许 输入 路 由 器 
Router] 接口 FastFthernet0/0。 这 也 说 明 ,用 扩展 分 组 过 滤器 实施 精确 控制 是 有 困难 的 。 


Create Complex PDU 


Source Settings 


Source Device: FTP Server 
Outgoing Port: 
|FastEthernet0 | E] Auto Select Port 


PDU Settings 
Select Application: He RN 
Destination IP Address: [92212313 | 
Tn: [2] 
TOS: 

Starting Source Port: 
Destination Port: 





Size: 


Simulation Settings 
(9 One Shot. Time: 


O Periodic — Interval: 








图 8.19 破坏 访问 控制 策略 的 TCP 报 文 


8.2.6 命令 行 接口 配置 过 程 


1. 路 由 器 Routerl 接口 和 RIP 配置 过 程 
命令 序列 如 下 : 


Router»enable 

Router# configure terminal 

Router (config)finterface FastEthernet0/0 

Router (config-if)#no shutdown 

Router (config-if)fip address 192.1.1.254 255.255.255.0 
Router (config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)f$no shutdown 

Router (config-if)fip address 192.1.3.1 255.255.255.0 
Router (config-if)fexit 

Router (config)frouter rip 


Router (config-router)f$network 192.1.1.0 
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Router (config-router)#network 192.1.3.0 


Router (config-router)#exit 


2. 路 由 器 Router2 接口 和 RIP 配置 过 程 
命令 序列 如 下 : 


Router>enable 

Router# configure terminal 

Router (config)#interface FastEthernet0/0 

Router (config-if)#no shutdown 

Router (config-if)#ip address 192.1.3.2 255.255.255.0 
Router (config-if)#exit 

Router (config)#interface FastEthernet0/1 

Router (config-if)#no shutdown 

Router (config-if)#ip address 192.1.2.254 255.255.255.0 
Router (config-if)#exit 

Router (config)#router rip 

Router (config-router)#network 192.1.2.0 

Router (config-router)#network 192.1.3.0 


Router (config-router)#exit 


3. 路 由 器 Routerl 扩展 分 组 过 滤器 配置 过 程 
命令 序列 如 下 : 


Router (config)faccess-list 101 permit tcp host 192.1.1.1 host 192.1.2.7 eq www 
Router (config)faccess-list 101 permit tcp host 192.1.1.7 eq ftp host 192.1.2.1 
Router (config)faccess-list 101 permit tcp host 192.1.1.7 gt 1024 host 192.1.2.1 
Router (config)faccess-list 101 deny ip any any 

Router (config)finterface FastEthernet0/0 

Router (config-if)fip access-group 101 in 


Router (config-if)fexit 


4. 路 由 器 Router? 扩展 分 组 过 滤器 配置 过 程 
命令 序列 如 下 : 


Router (config)faccess-list 101 permit tcp host 192.1.2.1 host 192.1.1.7 eq ftp 
Router (config) # access - list 101 permit tcp host 192.1.2.1 host 192.1.1.7 
gt 1024 

Router (config)faccess-list 101 permit tcp host 192.1.2.7 eq www host 192.1.1.1 
Router (config)faccess-list 101 deny ip any any 

Router (config)finterface FastEthernet0/1 

Router (config-if)fip access-group 101 in 


Router (config-if)fexit 


5. 命令 列表 
路 由 器 命令 行 接口 配置 过 程 中 使 用 的 命令 及 功能 和 参数 说 明 如 表 8.2 所 示 。 
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表 8.2 命令 列表 


功能 和 参数 说 明 





access-list access-List-number 
{deny| permit) protocol source 
sourceswildcard destination 


destination-wildcard 


定义 一 条 属于 某 个 扩展 分 组 过 滤器 的 规则 。 参 数 accesslist- 
number 是 扩展 分 组 过 滤器 的 编号 ,扩展 分 组 过 滤器 的 编号 范围 是 
100—199, deny 和 permit 表示 动作 ,其 中 deny 表示 拒绝 ,permit 
表示 允许。 参数 protocol 指定 IP 分 组 首部 的 协议 字段 值 ,可 选 的 
协议 类 型 有 TCP UDP, ICMP 和 表示 任意 值 的 卫 等。 参数 source 
和 source-wildcard 指定 源 IP 地 址 范围 ,其 中 参数 source 是 IP 地 
址 ,参数 sourcewildcard 是 反 掩 码 , 如 source 192. 1. 2. 2, source 
wildcard 二 0.0.0.1, 表 示 源 IP 地 址 范围 是 192. 1. 2. 2 和 192. 1. 
2.3。 如 source— 192. 1.2. 2, source-wildcard —0. 0. 0. 0, zril IP. 
地 址 范围 是 唯一 的 IP 地 址 192. 1. 2. 2, 这 种 情况 下 ,可 以 用 host 
192. 1. 2.2 代替 。 如 source—0. 0. 0. 0 source-wildcard — 255. 255. 
255. 255, 表 示 源 IP 地 址 范围 是 所 有 IP 地 址 ,这 种 情况 下 ,可 以 用 
any 人 代替。 参数 destination 和 destination-wildcard 指定 目的 IP 
地 址 范围 , 其 中 参数 destination 是 IP 地 址 ,参数 destinatiom 
wildcard 是 反 掩 码 。 参 数 destination 和 destination-wildcard 指 
定 目的 I 地址 范围 的 方式 与 参数 source 和 source-wildcard 指定 
源 IP 地 址 范围 的 方式 相同 














协议 字段 值 为 TCP 的 规则 定义 命令 。 当 协议 字段 值 是 TCP 时 ， 


access-list access-List-number 
(deny| permit) tep source source- 
wildcard [operator [ port ]] 
destination destination-wildcard 


[operator [ port JJ 


[operator [ port ]] 用 于 指定 端口 号 范围 ,参数 operator 是 操作 
符 , 可 选 的 操作 有 lt( 小 于 ) gt CK TO .eq( 等 于 ) .neq( 不 等 于 ) 和 
range( 范 围 ) SA port 是 端口 号 ,lt 20 表示 端口 号 范围 是 所 有 小 
于 20 的 端口 号 ,gt 1024 表示 端口 号 范围 是 所 有 大 于 1024 的 端口 
号 。 紧 跟 源 IP BER [operator [ port 了 ] 用 于 指定 源 端口 号 范围 ， 
紧 跟 目的 TP 地 址 的 [operator [ port ]] 用 于 指定 目的 端口 号 范围 。 
不 指定 端口 号 范围 ,表示 任意 端口 号 。 其 他 参数 的 含义 与 该 表 中 
的 第 一 条 命令 相同 




















access-list access-List-number 


{deny| permit) udp source 
sourceswildcard [operator [ port] 
destination destination-wildcard 


Loperator 上 port JJ 


协议 字段 值 为 UDP 的 规则 定义 命令 。 其 他 参数 的 含义 与 该 表 中 
的 第 二 条 命令 相同 





ip access-group access-List-number 
(in| out} 





将 扩展 分 组 过 滤器 作用 到 路 由 器 接口 输入 或 输出 方向 。 参 数 
access-list-number 是 扩展 分 组 过 滤器 编号 ,in 表示 输入 方向 ,out 
表示 输出 方向 


注 : 粗 体 是 命令 关键 字 ,斜体 是 命令 参数 。 


8.3 


8.3.1 实验 内 容 


互连网 络 结构 如 图 8. 10 所 示 , 分 别 在 路 由 器 RI 接口 1 和 路 由 器 R2 接口 2 设置 有 
状态 分 组 过 滤器 ,实现 只 允许 终端 A 访问 Web 服务 器 ,终端 了 B 访 问 FTP 服务 器 ,禁止 其 
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他 一 切 网 络 间 通 信 过 程 的 安全 策略 。 
8.3.2 实验 目的 


(1) 验证 有 状态 分 组 过 滤器 的 配置 过 程 。 

(2) 验证 有 状态 分 组 过 滤器 实现 访问 控制 策略 的 过 程 。 
(3) 验证 过 滤 规则 设置 原则 和 方法 。 

(4) 验证 过 滤 规 则 作用 过 程 。 

(5) 验证 基于 会 话 的 信息 交换 控制 机 制 。 


833 实验 原理 


初始 状态 下 ,路 由 器 RI 接口 1 输入 方向 只 允许 与 终端 A 发 起 访问 Web 服务 器 的 过 
程 有 关 的 TCP 报 文 继续 传输 ,因此 ,路 由 器 RI 接口 1 输入 方向 的 过 滤 规 则 集 如 下 。 

O 协议 类 型 = TCP, 源 IP Jh = 192. 1. 1. 1/32, 源 端口 号 = * ,目的 TP 地 址 = 
192.1.2.7/32, 目 的 端口 号 二 80; 正 常 转发 。 

© 协议 类 型 二 x , 源 卫 地 址 王 any, 目 的 IP ihk Sany ER. 

同样 ,初始 状态 下 ,路 由 器 RI 接口 1 输出 方向 只 允许 与 终端 B 发 起 访问 FTP 服务 
器 的 过 程 有 关 的 TCP 报 文 继续 传输 , 因此 ,路 由 器 R1 接口 1 输出 方向 的 过 滤 规 则 集 
如 下 。 

O 协议 类 型 =TCP, 源 IP 地 址 =192. 1. 2. 1/32, 源 端口 号 = * ,目的 IP 地 址 = 
192.1.1.7/32, 目 的 端口 号 =21; 正 常 转发 。 

© 协议 类 型 =TCP, 源 IP 地 址 ==192. 1. 2. 1/32, 源 端口 号 = x ,目的 IP 地址 = 
192.1.1.7/32, 目 的 端口 号 >1024; 正 常 转 发 。 

@ 协议 类 型 =* , 源 IP 地址 =any, 目 的 IP 地 址 =any; 丢 弃 。 

与 第 8. 2 节 中 的 扩展 分 组 过 滤器 实验 不 同 ,路 由 器 RI 接口 1 输入 方向 的 扩展 分 组 
过 滤器 只 允许 与 终端 A 发 起 访问 Web 服务 器 的 过 程 相关 的 TCP 报 文 输入 ,禁止 FTP 服 
务 器 发 送 给 终端 B 的 响应 报 文 输 入 。 同 样 ,路 由 器 R1 接口 1 输出 方向 的 扩展 分 组 过 滤 
器 只 允许 与 终端 了 发 起 访问 FTP 服务 器 的 过 程 相 关 的 TCP 报 文 输出 ,禁止 Web 服务 器 
发 送 给 终端 A 的 响应 报 文 输出 。 

这 是 有 状态 分 组 过 滤器 不 同 于 无 状态 分 组 过 滤器 的 地 方 ,对 于 终端 A 发 起 访问 Web 
服务 器 的 过 程 ,只 有 在 路 由 器 RI 接口 1 输入 方向 输入 了 终端 A 发 送 给 Web 服务 器 的 请 
求 消息 ,路 由 器 R1 才 会 自动 在 接口 1 输出 方向 设置 允许 该 请 求 消息 对 应 的 响应 消息 输 
出 的 过 滤 规 则 。 即 输出 方向 允许 Web 服务 器 发 送 给 终端 A 的 TCP 报 文 输出 的 前 提 有 
两 个 ,一 是 输入 方向 输入 了 封装 终端 A 发 送 给 Web 服务 器 的 请 求 消息 的 TCP 报 文 , 且 
该 TCP 报 文 与 规则 匹配 。 二 是 输出 的 TCP 报 文 是 封装 Web 服务 器 发 送 给 终端 A 的 
响应 消息 的 TCP 报 文 。 

对 于 终端 了 B 发 起 访问 FTP 服务 器 过 程 ,只 有 在 路 由 器 RI 接口 1 输出 方向 输出 了 终 
端 B 发 送 给 FTP 服务 器 的 请 求 消息 ,路 由 器 R1 才 会 自动 在 接口 1 输入 方向 设置 允许 该 
请 求 消息 对 应 的 响应 消息 输入 的 过 滤 规 则 。 
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同样 原因 ,路 由 器 R2 接口 2 输入 方向 的 过 滤 规 则 集 如 下 。 

O 协议 类 型 =TCP, 源 IP 33b — 192. 1. 2. 1/32. 源 端 口号 = x* ,目的 IP 地 址 = 
192. 1.1.7/32, 目 的 端口 号 =21; 正 常 转发 。 

© 协议 类 型 =TCP, 源 IP 地 址 二 192. 1. 2. 1/32, 源 端 口号 = * ,目的 IP 地 址 = 
192.1.1.7/32, 目 的 端口 号 之 1024; 正 常 转发 。 

© 协议 类 型 = x i IP 地 址 二 any, 目 的 IP 地 址 二 any; 丢 弃 。 

路 由 器 R2 接口 2 输出 方向 的 过 滤 规 则 集 如 下 。 

O 协议 类 型 =TCP, 源 IP 地 址 =192. 1. 1. 1/32, 源 端 口号 = « ,目的 IP 地 址 = 
192. 1.2.7/32, 目 的 端口 号 二 80; 正 常 转发 。 

© 协议 类 型 = + , 源 IP 地 址 二 any, 目 的 IP 地 址 =any; 丢 弃 。 

路 由 器 R2 接口 2 输入 /输出 方向 过 滤 规 则 集 的 配置 原则 与 路 由 器 R1 接口 1 输入 输 
出 方向 过 滤 规 则 集 的 配置 原则 相同 。 

除了 在 路 由 器 接口 输入 /输出 方向 配置 扩展 分 组 过 滤器 以 外 ,为 了 能 够 在 一 个 方向 通 
过 请 求 消息 后 ,在 男 一 个 方向 自动 添加 允许 该 请 求 消息 对 应 的 响应 消息 通过 的 过 滤 规 则 ， 
需要 同步 配置 监测 器 ,监测 器 用 于 监测 某 个 方向 通过 的 请 求 消息 ,并 在 监测 到 请 求 消息 
后 ,自动 在 相反 方向 添加 允许 该 请 求 消息 对 应 的 响应 消息 通过 的 过 滤器 规则 。 


8.3.4 关键 命令 说 明 


l. 定义 监测 器 过 程 
以 下 命令 序列 用 于 定义 监测 器 。 








Router (config)#ip inspect name al http 
Router (config)fip inspect name al tcp 


Router (config)fip inspect name a2 tcp 


ip inspect name al http 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 在 名 为 al 的 监 
测 器 中 添加 监测 协议 HTTP。 一 旦 监测 HTTP, 则 只 有 在 监测 方向 监测 到 HTTP 请 求 
消息 通过 后 , 才 允 许 该 HTTP 请 求 消息 对 应 的 响应 消息 通过 相反 方向 。 

ip inspect name al tep 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 在 名 为 al 的 监测 
器 中 添加 监测 协议 TCP。 一 旦 监测 TCP, 则 只 有 在 监测 方向 监测 到 请 求 建立 TCP 连接 
的 请 求 报 文通 过 后 , 才 允 许 属 于 该 TCP 连接 的 TCP 报 文通 过 相反 方向 。TCP 连接 由 两 
端 插口 唯一 标识 , 即 由 两 端 IP 地 址 和 两 端 端口 号 唯一 标识 。 

名 为 al 的 监测 器 中 同时 监测 HTTP A TCP. hF HTTP 是 应 用 层 协议 ,因此 ,接收 
到 TCP 报 文 后 ,首先 根据 HTTP 实施 监测 过 程 , 即 如 果 TCP 报 文中 封装 的 是 HTTP 响 
应 消息 , 且 没 有 在 监测 方向 监测 到 对 应 的 HTTP 请 求 消息 , 则 即使 该 了 CP 报 文 属于 已 经 
监测 到 的 某 个 TCP 连接 ,路 由 器 也 不 允许 该 TCP 报 文通 过 。 

2. 将 监测 器 作用 到 路 由 器 接口 

以 下 命令 序列 用 于 将 监测 器 作用 到 路 由 器 接口 FastEthernet0/0。 





Router (config)finterface FastEthernet0/0 


Sog PRIRA ^ 


Router (config-if)fip inspect al in 

Router (config-if)fip inspect a2 out 

Router (config-if)fexit 

ip inspect al in 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 将 名 为 al 的 监测 器 
作用 到 路 由 器 接口 FastEthernet0/0 输入 方向 ,in 表示 输入 方向 。 执 行 该 命令 后 ,如 果 路 
由 器 接口 FastEthernet0/0 输入 方向 允许 通过 HTTP 请 求 消息 或 TCP 请 求 报 文 , 则 路 由 
器 接口 FastEthernet0/0 输出 方向 允许 通过 该 HT TP 请 求 消息 对 应 的 响应 消息 ,或 者 属 
于 该 TCP 请 求 报 文 请 求 建立 的 TCP 连接 的 TCP 报 文 。 

路 由 器 接口 FastEthernet0/0 输入 方向 通过 设置 的 扩展 分 组 过 滤器 确定 是 否 允 许 通 
过 HTTP 请 求 消息 或 TCP 请 求 报 文 。 一 旦 在 路 由 器 接口 FastEthernet0/0 输入 方向 设 
置 监测 器 , 且 监 测 器 监测 到 扩展 分 组 过 滤器 允许 通过 的 HTTP 请 求 消息 或 TCP 请 求 报 
文 , 则 路 由 器 接口 FastEthernet0/0 输出 方向 自动 添加 允许 通过 该 HTTP 请 求 消息 对 应 
的 响应 消息 ,或 者 属于 该 TCP 请 求 报 文 请 求 建立 的 TCP 连接 的 TCP 报 文 的 过 滤 规 则 ， 
该 过 程 不 受 路 由 器 接口 FastEthernet0/0 输出 方向 设置 的 扩展 分 组 过 滤器 的 限制 。 


835 实验 步骤 


本 实验 与 第 8. 2 节 中 的 扩展 分 组 过 滤器 实验 相 比 ,有 以 下 不 同 。 

l. 设置 的 扩展 分 组 过 滤器 不 同 

以 路 由 器 Routerl 接口 FastEthernet0/0 为 例 ,输入 方向 设置 的 扩展 分 组 过 滤器 只 人 允 
许 与 终端 A 发 起 访问 Web 服务 器 的 过 程 有 关 的 TCP 报 文通 过 ,输出 方向 设置 的 扩展 分 
组 过 滤器 只 允许 与 终端 B 发 起 访问 FTP 服务 器 的 过 程 有 关 的 TCP 报 文通 过 , 即 输入 方 
向 设置 的 扩展 分 组 过 滤器 不 允许 FTP 服务 器 向 终端 B 发 送 TCP 报 文 。 同样 ,输出 方向 
设置 的 扩展 分 组 过 滤器 不 允许 Web 服务 器 向 终端 A 发 送 TCP 报 文 。 

2. 输入 输出 方向 设置 监测 器 

以 路 由 器 Routerl 接口 FastEthernet0/0 为 例 , 为 了 保证 输入 方向 通过 终端 A 发 送 
给 Web 服务 器 的 请 求 消息 后 , 才 允 许 输出 方向 通过 Web 服务 器 发 送 给 终端 A 的 响应 消 
息 , 需 要 在 输入 方向 设置 监测 器 ,只 有 当 监 测 器 监测 到 输入 方向 设置 的 扩展 分 组 过 滤器 人 允 
许 的 终端 A 发 送 给 Web 服务 器 的 请 求 消息 后 , 才 允 许 输出 方向 输出 Web 服务 器 向 终端 
A 发 送 的 响应 消息 。 这 种 允许 不 受 输 出 方向 扩展 分 组 过 滤器 的 限制 。 

3. 更 严格 的 管控 

以 路 由 器 Routerl 接口 FastEthernet0/0 为 例 , 由 于 输入 方向 设置 的 扩展 分 组 过 滤器 
只 允许 终端 A 向 Web 服务 器 发 送 TCP 报 文 ,因此 ,在 终端 B 向 FTP 服务 器 发 送 请 求 消 
息 前 ,输入 方向 不 允许 输入 FTP 服务 器 发 送 给 终端 B 的 TCP 报 文 ,图 8. 19 所 示 的 TCP 
报 文 不 允许 输入 路 由 器 Routerl 接口 FastEthernet0/0。 图 8. 11 所 示 的 互连网 只 允许 
PCO 通过 浏览 器 访问 Web Server. PC2 通过 FTP 访问 FTP Server, 


8.3.6 命令 行 接口 配置 过 程 


l. Routerl 安全 功能 配置 过 程 
命令 序列 如 下 : 
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Router (config)faccess-list 101 permit tcp host 192.1.1.1 host 192.1.2.7 eq www 
Router (config)faccess-list 101 deny ip any any 

Router (config)faccess-list 102 permit tcp host 192.1.2.1 host 192.1.1.7 eq ftp 
Router (config) f access - list 102 permit tcp host 192.1.2.1 host 192.1.1.7 
gt 1024 

Router (config)faccess-list 102 deny ip any any 

Router (config)fip inspect name al http 

Router (config)fip inspect name al tcp 

Router (config)fip inspect name a2 tcp 

Router (config)finterface FastEthernet0/0 

Router (config-if)fip access-group 101 in 

Router (config-if)fip access-group 102 out 

Router (config-if)fip inspect al in 

Router (config-if)fip inspect a2 out 


Router (config-if)fexit 


2, Router2 安全 功能 配置 过 程 
命令 序列 如 下 : 


Router (config)faccess-list 101 permit tcp host 192.1.2.1 host 192.1.1.7 eq ftp 
Router (config) faccess- list 101 permit tcp host 192.1.2.1 host 192.1.1.7 
gt 1024 

Router (config)faccess-list 101 deny ip any any 

Router (config)faccess-list 102 permit tcp host 192.1.1.1 host 192.1.2.7 eq www 
Router (config)faccess-list 102 deny ip any any 

Router (config)fip inspect name al http 

Router (config)fip inspect name al tcp 

Router (config)fip inspect name a2 tcp 

Router (config)finterface FastEthernet0/1 

Router (config-if)fip access-group 101 in 

Router (config-if)fip access-group 102 out 

Router (config-if)fip inspect al out 

Router (config-if)fip inspect a2 in 


Router (config-if)fexit 


3. 命令 列表 
路 由 器 命令 行 接口 配置 过 程 中 使 用 的 命令 及 功能 和 参数 说 明 如 表 8.3 所 示 。 


表 8.3 命令 列表 


命令 格式 功能 和 参数 说 明 





ip 


name protocol 


在 以 参数 inspectiorname 为 名 字 的 监测 器 中 添加 需要 监测 的 协 
议 , 参 数 protocol 用 于 指定 需要 监测 的 协议 ,常见 的 协议 有 TCP, 
UDP,ICMP,HTTP 等 


inspect name — inspection- 
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ERR 功能 和 参数 说 明 





ip inspect. inspectiorname lin | | 将 以 参数 inspectiorname 为 名 字 的 监测 器 作用 到 路 由 器 接口 的 输 
out) 和信 或 输出 方向 ,im 表示 输入 方向 ,out 表示 输出 方向 





注 : 粗 体 是 命令 关键 字 , 斜 体 是 命令 参数 。 


8.4 基于 分 区 防火 墙 实验 


841 实验 内 容 


互连网 结构 如 图 8. 20 所 示 ,将 路 由 器 R2 接口 1 连接 的 区 域 定义 为 信任 区 ,接口 2 连 
接 的 区 域 定义 为 非 军事 区 ,接口 3 连接 的 区 域 定义 为 非 信任 区 。 要 求实 施 以 下 安全 策略 : 

A) 允许 信任 区 内 的 终端 访问 非 军事 区 和 非 信 任 区 中 的 Web 服务 器 。 

(2) 允许 信任 区 内 的 终端 通过 非 军事 区 中 的 E-Mail 服务 器 与 非 信任 区 中 的 终端 交 
换 邮件 。 

(3) 允许 非 信 任 区 中 的 终端 访问 非 军事 区 中 的 Web 服务 器 。 

(4) 禁止 其 他 网 络 之 间 的 通信 过 程 。 


842 实验 目的 


(1) 深入 理解 有 状态 分 组 过 滤器 的 监测 机 制 。 

(2) 验证 对 区 间 数 据 传输 过 程 实施 控制 的 过 程 。 

(3) 深入 理解 通过 服务 定义 区 间 信 息 交 换 过 程 的 原理 。 
(4) 掌握 基于 分 区 防火 墙 的 配置 过 程 。 


8.4.3 实验 原理 


根据 安全 策略 ,在 路 由 器 R2 中 配置 以 下 访问 控制 策略 。 

O 从 信任 区 到 非 军事 区 : W IP 地 址 =192. 1.1.0/24, 目 的 JP Jb — 192. 1. 2. 7/32. 
HTTP 服务 。 

© 从 信任 区 到 非 军事 区 : W IP 地 址 =192.1.1.0/24, 目 的 了 P 了 地 址 =192. 1. 2. 3/32, 
SMTP 十 POP3 服务 。 

@ 从 信任 区 到 非 信任 区 : W IP 地 址 ==192. 1. 1.0/24, 目 的 IP 地址 = 192. 1.3. 7/ 
32.HTTP 服务 。 

© 从 非 军事 区 到 非 信任 区 : W IP 地址 ==192. 1. 2.3/32, 目 的 IP 地 址 =192. 1.3. 3/ 
32,SMTP 服务 。 

@ 从 非 信任 区 到 非 军事 区 : W IP Hh — 192. 1. 3.0/24, 目 的 IP Jh — 192. 1.2. 7/ 
32.HTTP 服务 。 

© 从 非 信任 区 到 非 军事 区 : 源 IP 地 址 = 192.1.3.3/32, 目 的 IP 地 址 =192.1.2.3/ 
32,SMTP 服务 。 
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844 关键 命令 说 明 

1. 定义 类 映射 

以 下 命令 序列 用 于 定义 满足 条 件 “ 源 TP Hob — 192. 1.1. 0/24, 目 的 TP Jh — 192, 1.2. 7/ 
32, HTTP 服务 ”的 类 映射 。 


Router (config)faccess-list 101 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.7 
eq www 

Router (config)faccess-list 101 deny ip any any 

Router (config)fclass-map type inspect match-all a-b-http 

Router (config-cmap) match access-group 101 

Router (config-cmap) match protocol http 


Router (config-cmap)fexit 


access-list 101 permit tcp 192. 1. 1. 0 0.0. 0. 255 host 192. 1.2. 7 eq www 和 access- 
list 101 deny ip any any 是 全 局 模式 下 使 用 的 命令 ,这 两 条 命令 的 作用 是 指定 满足 以 下 条 
件 的 IP 分 组 : 源 TP 地 址 属于 CIDR 地 址 块 192.1.1. 0/24, 目 的 IP 地 址 等 于 192. 1. 2.7, 
IP 首部 协议 字段 值 是 TCP , 净 荷 是 目的 端口 号 字段 值 等 于 80 的 TCP 报 文 。 

class-map type inspect match-all a-b-http 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 
有 两 个 ; 一 是 定义 名 为 a-b-http 类 映射 ,类 映射 用 于 定义 需要 进行 有 状态 监测 的 信息 流 
类 别 ;二 是 进入 类 映射 配置 模式 。 其 中 参数 match-all 表示 需要 进行 有 状态 监测 的 信息 流 
是 符合 类 映射 配置 模式 中 所 有 指定 条 件 的 信息 流 。 

match access-group 101 是 类 映射 配置 模式 下 使 用 的 命令 ,(config-cmap) 并 是 类 映射 
配置 模式 下 的 命令 提示 符 。 该 命令 的 作用 是 指定 进行 有 状态 监测 的 信息 流 需要 符合 的 其 
中 一 个 条 件 ,该 条 件 表明 ,进行 有 状态 监测 的 信息 流 必 须 是 编号 为 101 的 扩展 分 组 过 滤器 
允许 通过 的 IP 分 组 。 

match protocol http 是 类 映射 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 指定 进行 有 
状态 监测 的 信息 流 需要 符合 的 另 一 个 条 件 ,该 条 件 表明 ,进行 有 状态 监测 的 信息 流 必须 是 
封装 http 消息 的 IP 分 组 。 

由 于 参数 match-all 要 求 满足 所 有 条 件 , 因 此 ,名 为 abrhttp 的 类 映射 指定 的 进行 有 
状态 监测 的 信息 流 必须 同时 满足 以 下 两 个 条 件 。 条件 1: 信息 流 是 源 全 地 址 属于 CIDR 
地 址 块 192. 1.1.0/24, 目 的 全 地 址 等 于 192.1.2.7,IP 首 部 协议 字段 值 是 TCP, 净 荷 是 目的 
端口 号 字段 值 等 于 80 的 TCP 报 文 的 下 分 组 ;条 件 2: 信息 流 是 封装 http 消息 的 下 分 组 。 

2. 定义 策略 映射 

以 下 命令 序列 用 于 为 区 间 传输 的 每 一 类 信息 流 定义 动作 。 





Router (config)fpolicy-map type inspect a-b 
Router (config-pmap)fclass type inspect a-b-http 
Router (config-pmap-c)finspect 

Router (config-pmap-c)fexit 


Router (config-pmap)fclass type inspect a-b-smtp 
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Router (config-pmap-c)finspect 

Router (config-pmap-c)fexit 

Router (config-pmap)fclass type inspect a-b-pop3 
Router (config-pmap-c)f inspect 

Router (config-pmap-c)fexit 


Router (config-pmap)fexit 


policy-map type inspect a-b 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 有 两 个 : 一 是 
定义 名 为 ab 的 策略 映射 ,策略 映射 用 于 为 区 间 传 输 的 每 一 类 信息 流 指定 动作 ;二 是 进入 
策略 映射 配置 模式 。 

class type inspect a-b-http 是 策略 映射 配置 模式 下 使 用 的 命令 , Cconfig-pmap) # 是 
策略 映射 配置 模式 下 的 命令 提示 符 。 该 命令 的 作用 有 两 个 : 一 是 指定 信息 流 类 别 ,a-b- 
http 是 类 映射 名 ,表示 信息 流 类 别 由 名 为 a-b-http 的 类 映射 定义 ;二 是 进入 策略 映射 类 配 
置 模式 。 

inspect 是 策略 映射 类 配置 模式 下 使 用 的 命令 , Cconfig-pmap-c) # 是 策略 映射 类 配置 
模式 下 的 命令 提示 符 。 该 命令 的 作用 是 为 该 类 信息 流 指定 动作 ,指定 的 动作 是 对 该 类 信 
息 流 进 行 有 状态 监测 。 有 状态 监测 是 指 , 只 有 在 指定 方向 监测 到 属于 该 类 信息 流 的 请 求 
消息 通过 后 , 才 允 许 相反 方向 通过 该 请 求 消息 对 应 的 响应 消息 。 

在 名 为 ab 的 策略 映射 中 ,可 以 为 多 类 信息 流 规定 动作 。 除 了 由 名 为 a-b-http 的 类 
映射 定义 的 信息 流 以 外 ,还 可 以 为 分 别 由 名 为 a-b-smtp 和 a-b-pop3 的 类 映射 定义 的 信息 
流 规定 动作 。 

3. 定义 区 域 . 指 定 连接 该 区 域 的 路 由 器 接口 

以 下 命令 序列 用 于 定义 名 为 a 的 区 域 ,并 指定 路 由 器 接口 FastEthernet0/0 为 连接 该 
区 域 的 路 由 器 接口 。 





Router (config)#zone security a 
Router (config)finterface FastEthernet0/0 
Router (config-if)fzone-member security a 


Router (config-if)fexit 


zone security a 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 定义 一 个 名 为 a 的 区 域 。 
为 了 方便 起 见 , 本 实验 用 名 为 a 的 区 域 表示 信任 区 ,名 为 b 的 区 域 表示 非 军事 区 ,名 为 c 
的 区 域 表示 非 信 任 区 。 

zone-member security a 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 将 指定 接口 
(这 里 是 接口 FastEthernet0/0) 分 配给 名 为 a 的 区 域 。 

4. 定义 区 域 对 与 为 该 区 域 对 指定 服务 策略 

以 下 命令 序列 用 于 定义 区 域 对 ,指定 名 为 ab 的 策略 映射 作为 对 区 域 对 之 间 传 输 的 
信息 流 实施 控制 的 服务 策略 。 





Router (config)#zone-pair security a-b source a destination b 
Router (config-sec-zone-pair)fservice-policy type inspect a-b 


Router (config-sec-zone-pair)fexit 
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zone-pair security a-b source a destination b 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作 
用 有 两 个 : 一 是 定义 名 为 ab 的 区 域 对 ,并 指定 名 为 a 的 区 域 是 该 区 域 对 的 源 区 域 , 名 为 
b 的 区 域 是 该 区 域 对 的 目的 区 域 ,以 此 对 应 访问 控制 策略 中 的 “从 信任 区 到 非 军 事 区 ”; 二 
是 进入 区 域 对 配置 模式 。 

service-policy type inspect a-b 是 区 域 对 配置 模式 下 使 用 的 命令 , (config-sec-zone- 
pair) 并 是 区 域 对 配置 模式 下 的 命令 提示 符 。 该 命令 的 作用 是 指定 名 为 ab 的 策略 映射 作 
为 对 区 域 对 之 间 传 输 的 信息 流 实 施 控制 的 服务 策略 。 


8.4.5 实验 步 又 


(1) 根据 如 图 8. 20 所 示 的 互连网 结构 放置 和 连接 设备 ,完成 设备 放置 和 连接 后 的 逻 
辑 工作 区 界面 如 图 8. 21 所 示 。 
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图 8.21 完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 


(2) 完成 路 由 器 Routerl Router? 和 了 Router3 各 台 接 口 的 IP 地 址 和 子 网 掩 码 配置 过 
程 。 完 成 各 台 路 由 器 RIP 配置 过 程 。 完 成 上 述 配置 过 程 后 的 路 由 器 Routerl .Router2 和 
Router3 的 路 由 表 分 别 如 图 8. 22 .图 8. 23 和 图 8. 24 所 示 。 


Network Port 
192.1.1.0/24 FastEthernet0/0 
192. 1.20/24 FastEthernet0/1 


192. 1.3.0/24 FastEthernet0/1 
192. 1. 4.0/24 FastEthernet0/1 
192. 1.5.0/24 FastEthernet0/1 











图 8.22 路 由 器 Routerl 路 由 表 
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Network Port Next Hop IP 
192.1.1.0/24 FastEthernet0/0 192.1.4.1 
192. 1.2. 0/24 FastEthernet0/1 一 


192.1.3.0/24 FastEthernetl/O 192.1.5.2 
192.1.4.0/24 FastEthernet0/0 zas; 
192.1.5.0/24 FastEthernet1/O = 

m 











E 8.23 路 由 器 Router2 路 由 表 


Network. Port Next Hop IP Metric 
192. 1. 1.0/24 FastEthernet0/0 192.1.5.1 
192. 1. 2. 0/24 FastEthernet0/0 192.1.5.1 
192. 1.3. 0/24 FastEthernet0/1 = 
192. 1. 4.0/24 FastEthernet0/0 192.1.5.1 
192. 1.5. 0/24 FastEthernet0/0 2 











图 8.24 路 由 器 Router3 路 由 表 


(3) 完成 各 个 终端 和 服务 器 网 络 信息 配置 过 程 。PC0 配置 的 网 络 信息 如 图 8. 25 所 
示 , 将 同一 以 太 网 内 的 FTP Server 作为 DNS 服务 器 ,其 目的 是 保证 PCO 解析 域名 时 ,不 
会 涉及 区 域 间 数据 传输 过 程 。 同 理 ,PC1 也 将 FTP Server 作为 DNS 服务 器 , E-Mail 
Serverl 将 Web Serverl 作为 DNS 服务 器 ,E-Mail Server2, PC2 和 PC3 将 Web Server2 
作为 DNS 服务 器 。FTP Server 中 配置 的 资源 记录 如 图 8. 26 所 示 ,b. com 是 E-Mail 
Serverl 的 域名 , c. com 是 E-Mail Server2 的 域名 。 其 他 作为 DNS 服务 器 的 Web 
Serverl Web Sserver2 中 配置 的 资源 记录 与 FTP Server 相同 。 








Physical. | Config | Desktop | Software/Services 


IP Configuration x 


IP Configuration 
© DHCP 6 Static 








IP Address 192.1.1.1 








Subnet Mask 255.255.255.0 








Default Gateway 192.1.1.254 








DNS Server 192.1.1.7 
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© DHCP © Auto Config @ Static 





IPv6 Address 














Link Local Address |FE80::205:5EFF:FE95:63E8 








IPV6 Gateway 














IPv6 DNS Server 

















8.25 PC0 配置 的 网 络 信息 
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Physical | Config | Services | Desktop | Software/Services | 

































































DNS 
DNS Service & on © off 
Resource Records 
Name Type |A Record ~ 
Address 
Add JI Save JI Remove 
No. Nane Type Detail 
0 bem A Record 192.1.2.3 
1 eco A Record 192.1.3.3 
DNS Cache 


























8.26 FIP Server 中 配置 的 资源 记录 


(4) E-Mail Serverl 的 配置 界面 如 图 8. 27 所 示 ,域名 是 b. com, 定 义 了 两 个 用 户 名 分 
别 是 aaal 和 aaa? 的 信箱 。E-Mail Server2 的 配置 界面 如 图 8. 28 所 示 , 域 名 是 c. com, 定 
义 了 两 个 用 户 名 分 别 是 aaa3 和 aaa4 的 信箱 。 
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EMAIL 

SMTP Service POP3 Service 

& ON © off @ ON © ofr 

Domain Name: |b.com Set 

User Setup 

User Password 

pr 

aaal 

" 
Change 
[Password | 






































图 8.27 E-Mail Serverl 配置 界面 


(5) 通过 ping 操作 ,验证 位 于 不 同 区 域 的 终端 和 终端 之 间 ,终端 和 服务 器 之 间 、 服 务 
器 和 服务 器 之 间 的 连通 性 。 
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EMAIL 
SMTP Service POP3 Service 
® on 6 orr ®© on 6 orr 
Domain Name: |c.com Set 
User Setup 
User Password 
aaa3 
saat 
+ 
Change 
L Password.) 









































8.28 E-Mail Server2 配置 界面 


(6) Æ CLI( 命 令 行 接口 ) 配 置 方式 下 ,完成 路 由 器 Router2 基于 区 域 防火 墙 的 配置 
过 程 。 确 定 如 图 8.21 所 示 的 互连网 已 经 实现 第 8. 4. 3 节 中 给 出 的 访问 控制 策略 。@D 不 
同 区 域 的 终端 和 终端 之 间 \ 终 端 和 服务 器 之 间 、 服 务 器 和 服务 器 之 间 已 经 无 法 交换 ICMP 
报 文 , 即 无 法 ping 通 。@PC0 可 以 用 浏览 器 访问 Web Serverl 和 Web Server2. PCO 用 浏 
览 器 访问 Web Serverl 的 界面 如 图 8. 29 所 示 , 但 PCO 与 E-Mail Serverl 之 间 无 法 交换 
HTTP 消息 ,PC0 用 浏览 器 访问 E-Mail Serverl 失败 的 界面 如 图 8. 30 所 示 。@PC0 可 以 登 











Physical | Config | Desktop | Software/Services. | 











[| mpm. 
Web Browse x 
(a) (E2) unt [neto 7/192. 1.2.7 Loe] Stop. 

















Web Serverl 
Welcome to Cisco Packet Tracer. Opening doors to new opportunities Mind Wide Open — F 


Quick Links: 
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8.29 PCO 用 浏览 器 成 功 访问 Web Serveri 的 界面 
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录 E-Mail Serverl,PC0 登录 E-Mail Server! 的 界面 如 图 8. 31 所 示 。PC2 可 以 登录 E-Mail 


Server2,PC2 登录 E-Mail Server2 的 界面 如 图 8. 32 所 示 。PC0 可 以 接收 到 
地 址 aaa3@c. com 发 送 的 邮件 ,如 图 8. 33 所 示 。PC2 可 以 接收 到 PCO 上 


PC2 用 E-Mail 














E-Mail 地 址 


aaal@b. com 发 送 的 邮件 ,如 图 8. 34 所 示 。 表 明 E-Mail Serverl 可 以 发 起 与 E-Mail Server2 


之 间 的 SMTP 消息 交换 过 程 。E-Mail Server2 也 可 以 发 起 与 E-Mail Serverl 


之 间 的 SMTP 


消息 交换 过 程 ,但 PCO 不 能 登录 E-Mail Server2,PC2 不 能 登录 E-Mail Serverl, 
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Your Nane: asal 











Email Address — |asalüb. con 
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Incoing Mail Server 
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User Nane: 








Password: 




















Save 






































Æ 8.31 PCO 登录 E-Mail Serverl 的 界面 
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Vser Infornation 





Your Nane 3 








Email Address 。 |aaa38c con 








Server Information 





Inconing Mail Server |c. com 








Outgoing Mail Server [< com 











Logon Information 





User Nane aaa 








Password: eooo 



































Æ 8.32 PC2 登录 E-Mail Server2 的 界面 











MAIL BROWSER E] 


Bails 





Compose Delete | (Configure Bail 














Subject Received 


星期 一 十 一 月 28 2016 
23:04:24 






































Receiving mail from POP3 Server b. com 
DES resolving Resolving name: b. com by querying to DNS Server: 192.1.1.7 DNS 
resolved ip address: 192.1.2.3 

Receive Mail Success. 
































图 8.33 PCO 接收 邮件 的 界面 
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Receiving mail from POP3 Server c. com 

















DES resolving Resolving meme: «con by querying to DNS Server: 192.1.3.7 INS Cancel 
resolved ip address: 192.1.3.3 [Send/Receive] 
Receive Nail Success. E 

‘ 加 |. 

















图 8.34 PC2 接收 邮件 的 界面 


值得 说 明 的 是 ,Packet Tracer 中 的 服务 器 能 够 同时 提供 多 种 网 络 服务 ,如 WWW 服 
4 .FTP 服务 .E-Mail 服务 .DNS 服务 .DHCP 服务 等 ,默认 情况 下 ,WWW 服务 是 自动 开 
启 的 ,因此 ,Packet Tracer 中 的 服务 器 无 须 配置 就 能 提供 WWW 服务 。 


846 命令 行 接口 配置 过 程 


1，Routerl 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router>enable 

Router#configure terminal 

Router (config)#interface FastEthernet0/0 

Router (config-if)#no shutdown 

Router (config-if)#ip address 192.1.1.254 255.255.255.0 
Router (config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)f$no shutdown 

Router (config-if)fip address 192.1.4.1 255.255.255.0 
Router (config-if)fexit 

Router (config)frouter rip 

Router (config-router)f$network 192.1.1.0 

Router (config-router)$network 192.1.4.0 


Router (config-router)fexit 


2. Router2 路 由 器 接口 和 RIP 配置 过 程 
命令 序列 如 下 : 
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Router»enable 

Routerf configure terminal 

Router (config)finterface FastEthernet0/0 

Router (config-if)fno shutdown 

Router (config-if)fip address 192.1.4.2 255.255.255.0 
Router (config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)#no shutdown 

Router (config-if)fip address 192.1.2.254 255.255.255.0 
Router (config-if)fexit 

Router (config)finterface FastEthernetl/0 

Router (config-if)f$no shutdown 

Router (config-if)fip address 192.1.5.1 255.255.255.0 
Router (config-if)fexit 

Router (config)frouter rip 

Router (config-router)fnetwork 192.1.2.0 

Router (config-router)f$network 192.1.4.0 

Router (config-router)f$network 192.1.5.0 


Router (config-router)fexit 


3. Router3 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router»enable 

Routerfconfigure terminal 

Router (config)finterface FastEthernet0/0 

Router (config-if)$no shutdown 

Router (config-if)fip address 192.1.5.2 255.255.255.0 
Router (config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)f$no shutdown 

Router (config-if)fip address 192.1.3.254 255.255.255.0 
Router (config-if)fexit 

Router (config)frouter rip 

Router (config-router)f$network 192.1.3.0 

Router (config-router)$network 192.1.5.0 


Router (config-router)fexit 


4. Router? 基于 区 域 防火 墙 配置 过 程 
命令 序列 如 下 : 


Router (config)faccess-list 101 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.7 
eq www 

Router (config)faccess-list 101 deny ip any any 

Router (config)faccess-list 102 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.3 
eq smtp 
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Router (config)faccess-list 102 deny ip any any 

Router (config)faccess-list 103 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.3 
eq pop3 

Router (config)faccess-list 103 deny ip any any 

Router (config)faccess-list 104 permit tcp 192.1.1.0 0.0.0.255 host 192.1.3.7 
eq www 

Router (config)faccess-list 104 deny ip any any 

Router (config) access- list 105 permit tcp host 192.1.2.3 host 192.1.3.3 
eq smtp 

Router (config)faccess-list 105 deny ip any any 

Router(config)faccess-list 106 permit tcp 192.1.3.0 0.0.0.255 host 192.1.2.7 
eq www 

Router (config)faccess-list 106 deny ip any any 

Router (config) # access- list 107 permit tcp host 192.1.3.3 host 192.1.2.3 
eq smtp 

Router (config)faccess-list 107 deny ip any any 

Router (config)fclass-map type inspect match-all a-b-http 

Router (config-cmap)fmatch access-group 101 

Router (config-cmap)fématch protocol http 

Router (config-cmap)fexit 

Router (config)fclass-map type inspect match-all a-b-smtp 

Router (config-cmap) match access-group 102 

Router (config-cmap)fématch protocol smtp 

Router (config-cmap)fexit 

Router (config)fclass-map type inspect match-all a-b-pop3 

Router (config-cmap)fmatch access-group 103 

Router (config-cmap)fmatch protocol pop3 

Router (config-cmap)fexit 

Router (config)fclass-map type inspect match-all a-c-http 

Router (config-cmap) match access-group 104 

Router (config-cmap) match protocol http 

Router (config-cmap)fexit 

Router (config)fclass-map type inspect match-all b-c-smtp 

Router (config-cmap) match access-group 105 

Router (config-cmap)fmatch protocol smtp 

Router (config-cmap)fexit 

Router (config)fclass-map type inspect match-all c-b-http 

Router (config-cmap)fmatch access-group 106 

Router (config-cmap) match protocol http 

Router (config-cmap)fexit 

Router (config-cmap)fclass-map type inspect match-all c-b-smtp 

Router (config-cmap) match access-group 107 

Router (config-cmap)fmatch protocol smtp 

Router (config-cmap)fexit 

Router (config)fpolicy-map type inspect a-b 

Router (config-pmap)fclass type inspect a-b-http 
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Router (config-pmap-c)#inspect 

Router (config-pmap-c)#exit 

Router (config-pmap)#class type inspect a-b-smtp 
Router (config-pmap-c)f inspect 

Router (config-pmap-c)fexit 

Router (config-pmap)fclass type inspect a-b-pop3 
Router (config-pmap-c)finspect 

Router (config-pmap-c)fexit 

Router (config-pmap)fexit 

Router (config)fpolicy-map type inspect a-c 
Router (config-pmap)fclass type inspect a-c-http 
Router (config-pmap-c)finspect 

Router (config-pmap-c)fexit 

Router (config-pmap)fexit 

Router (config)fpolicy-map type inspect b-c 
Router (config-pmap)féclass type inspect b- c- smtp 
Router (config-pmap-c)finspect 

Router (config-pmap-c)fexit 

Router (config-pmap)fexit 

Router (config)fpolicy-map type inspect c-b 
Router (config-pmap)fclass type inspect c-b-http 
Router (config-pmap-c)finspect 

Router (config-pmap-c)fexit 

Router (config-pmap)fclass type inspect c-b-smtp 
Router (config-pmap-c)finspect 

Router (config-pmap-c)fexit 

Router (config-pmap)fexit 

Router (config)fzone security a 

Router (config-sec-zone)fexit 

Router (config)fzone security b 

Router (config-sec-zone)fexit 

Router (config)fzone security c 

Router (config-sec-zone)fexit 

Router (config)finterface FastEthernet0/0 

Router (config-if)fzone-member security a 

Router (config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)fzone-member security b 
Router(config-if)fexit 

Router (config)finterface FastEthernetl/0 

Router (config-if)fzone-member security c 

Router (config-if)fexit 

Router (config)fzone-pair security a-b source a destination b 


Router (config-sec-zone-pair)fservice-policy type inspect a-b 
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Router (config-sec-zone-pair)fexit 


Router (config)fzone-pair security a-c source a destination c 


Router (config-sec-zone-pair)fservice-policy type inspect a-c 


Router (config-sec-zone-pair)fexit 


Router (config)fzone-pair security b-c source b destination c 


Router (config-sec-zone-pair)fservice-policy type inspect b-c 


Router (config-sec-zone-pair)fexit 


Router (config)fzone-pair security c-b source c destination b 


Router (config-sec-zone-pair)fservice-policy type inspect c-b 


Router (config-sec-zone-pair)fexit 


5. 命令 列表 


路 由 器 命令 行 接口 配置 过 程 中 使 用 的 命令 及 功能 和 参数 说 明 如 表 8.4 所 示 。 


命令 格式 


class-map type inspect [ match-any 
| match-all ] class-ma p-name 


match access-group access group 


match protocol protocol-name 


policy-map type inspect policy- 
ma p-name 


class type inspect c/ass-ma p-name 


8.4 命令 列表 
功能 和 参数 说 明 


创建 类 映射 ,并 进入 类 映射 配置 模式 ,参数 classmap-name 是 类 映 
射 名 。 类 映射 用 于 定义 符合 特定 条 件 的 信息 流 。match-any 表明 
只 需 符合 其 中 一 个 条 件 。match-all 表明 需要 符合 所 有 条 件 。 可 以 
在 类 映射 模式 下 定义 各 种 条 件 


用 扩展 分 组 过 滤器 作为 其 中 一 个 条 件 。 参 数 accessgroup 是 扩展 
分 组 过 滤器 的 编号 ,该 条 件 表明 ,只 有 扩展 分 组 过 滤器 允许 正常 转 
发 的 信息 流 才 是 符合 条 件 的 信息 流 


用 净 荷 是 否 是 指定 协议 的 PDU 作为 其 中 一 个 条 件 ,参数 protocol- 
name 是 协议 名 ,该 条 件 表明 ,只 有 净 荷 是 某 个 协议 的 PDU 的 信息 
流 才 是 符合 条 件 的 信息 流 

创建 策略 映射 ,并 进入 策略 映射 配置 模式 ,参数 policymap-name 
是 策略 映射 名 。 策 略 映射 用 于 为 各 类 信息 流 指定 动作 


指定 信息 流 , 参 数 class ma p-name 是 类 映射 名 ,表明 该 类 信息 流 是 
符合 名 为 class-map-name 的 类 映射 中 定义 的 条 件 的 信息 流 





inspect 


指定 动作 ,该 动作 是 有 状态 监测 , 即 只 有 在 指定 方向 监测 到 属于 该 
类 信息 流 的 请 求 消息 通过 后 , 才 允 许 相反 方向 通过 该 请 求 消息 对 
应 的 响应 消息 





zone security zone-name 


定义 区 域 ,参数 zonename 是 区 域名 





zone-member security zone name 


将 特定 路 由 器 接口 分 配给 指定 区 域 ,参数 zone_name 是 区 域名 





zone-pair security zone- pair-name 
source source-zxone-name 


destination destination-zone-name 





定义 区 域 对 ,并 进入 区 域 对 配置 模式 。 参 数 zone pair-name 是 区 
域 对 名 ,参数 sourcezone-name 是 源 区 域名 ,参数 destination-zone- 
name 是 目的 区 域名 。 区 域 对 传输 方向 是 从 源 区 域 到 目的 区 域 





service-policy type inspect policy- 


ma p-name 





为 某 个 区 域 对 定义 的 传输 方向 指定 策略 映射 。 参 数 policy ma p- 
name 是 策略 映射 名 , 即 在 某 个 区 域 对 定义 的 传输 方向 上 ,对 名 为 
policyma p-name 的 策略 映射 中 指定 的 每 一 类 信息 流 实施 规定 
动作 


注 : 粗 体 是 命令 关键 字 , 斜 体 是 命令 参数 。 
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8.5 ASA 5505 扩展 分 组 过 滤器 实验 


8.5.1 实验 内 容 


ASA5505 使 用 方式 如 图 8. 35 所 示 。 

端口 1 连接 内 部 网 络 ,端口 2 连接 非 军事 区 ,端口 3 连接 外 部 网 络 。 端 口 1 分 配给 
VLAN 1, 并 将 VLAN 1 对 应 的 IP 接口 取 名 为 inside。 端 口 2 分 配给 VLAN 3, 并 将 
VLAN 3 对 应 的 IP 接口 取 名 为 dmz。 端 口 3 分 配给 VLAN 2, 并 将 VLAN 2 对 应 的 IP 
接口 取 名 为 outside。3 个 接口 的 安全 级 别 从 高 到 低 依次 是 inside, dmz 和 outside, HF 
在 默认 状态 下 ,只 允许 IP. 分 组 从 高 安全 级 别 的 接口 流向 低 安全 级 别 的 接口 ,因此 ,3 个 接 
口 之 间 只 人 允许 单 向 传输 IP 分 组 。 为 了 使 IP 分 组 可 以 从 低 安全 级 别 的 接口 流向 高 安全 级 
别 的 接口 ,需要 通过 扩展 分 组 过 滤器 在 低 安全 级 别 的 接口 指定 允许 从 低 安全 级 别 的 接口 
流向 高 安全 级 别 的 接口 的 TP. 分 组 类 别 。 

如 果 ASA5505 只 有 基本 许可 证 , 则 在 为 第 3 个 接口 定义 名 字 时 ,必须 先 限制 该 接口 
与 其 他 接口 之 间 的 传输 功能 。 因 此 ,在 定义 VLAN 3 对 应 的 IP 接口 时 ,需要 限制 该 接口 
与 VLAN 1 对 应 的 IP 接口 之 间 的 传输 功能 ,这 种 限制 无 法 通过 在 名 为 dmz 的 接口 上 作 
用 扩展 分 组 过 滤器 而 改变 , 非 军事 区 中 的 服务 器 无 法 向 内 部 网 络 传输 TP. 分 组 。 

根据 图 8. 35 所 示 的 ASA5505 使 用 方式 ,要 求实 现 以 下 安全 策略 。 

(1) 允许 内 部 网 络 中 的 终端 访问 外 部 网 络 中 的 Web 服务 器 。 

(2) 允许 外 部 网 络 中 的 终端 访问 非 军 事 区 中 的 Web 服务 器 。 

(3) 允许 非 军事 区 中 的 E-Mail 服务 器 与 外 部 网 络 中 的 E-Mail 服务 器 之 间 相 互 交换 
SMTP 消息 。 

(4) 禁止 其 他 网 络 间 通信 过 程 。 


8.5.2 实验 目的 


(1) 掌握 ASA5505 接口 配置 过 程 。 

(2) 理解 默认 状态 下 ,IP 分 组 只 能 从 高 安全 级 别 接口 流向 低 安全 级 别 接口 的 单 向 传 
输 过 程 。 

(3) 掌握 ASA5505 扩展 分 组 过 滤器 的 配置 过 程 。 

(4) 掌握 通过 在 低 安全 级 别 接口 作用 扩展 分 组 过 滤器 ,允许 IP 分 组 从 低 安 全 级 别 接 
口 流向 高 安全 级 别 接口 的 过 程 。 

(5) 掌握 ASA5505 限制 接口 之 间 传输 功能 的 过 程 。 


8.5.3 实验 原理 


为 了 实现 安全 策略 ,需要 在 inside .dmz 和 outside 接口 配置 扩展 分 组 过 滤器 。 
1. inside 接口 输入 方向 配置 的 扩展 分 组 过 滤器 
inside 接口 输入 方向 配置 的 扩展 分 组 过 滤器 由 以 下 规则 组 成 。 
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O 协议 类 型 =TCP, 源 IP 3b —192. 1.1. 0/24. E] IP 3b — 192. 1. 3.7/32, 目 的 
E —80:1IE REA. 

规则 允许 与 内 部 网 络 中 的 终端 发 起 访问 外 部 网 络 中 的 Web 服务 器 的 过 程 有 关 的 
TCP 报 文 进入 inside 接口 。 

2. dmz 接口 输入 方向 配置 的 扩展 分 组 过 滤器 

dmz 接口 输入 方向 配置 的 扩展 分 组 过 滤器 由 以 下 规则 组 成 。 

O 协议 类 型 =TCP, 源 IP Jd — 192. 1.2. 7/32 , 源 端口 号 = www. Hf] IP 地址 = 
192. 1.3.0/24; 正 常 转发 。 

Q 协议 类 型 =TCP, 源 IP 地 址 二 192. 1. 2. 3/32, 源 端口 号 =smtp, 目 的 IP 地 址 = 
192.1.3.3/32; 正 常 转发 。 

@ 协议 类 型 =TCP, 源 IP 地 址 =192.1.2.3/32, 目 的 IP Jod — 192. 1. 3. 3/32, HS 
端口 号 =smtp; 正 常 转发 。 

规则 允许 与 外 部 网 络 中 的 终端 发 起 访问 非 军事 区 中 的 Web 服务 器 的 过 程 有 关 的 
TCP 报 文 进入 dmz 接口 。 

规则 @ 允 许 与 外 部 网 络 中 的 E-Mail 服务 器 发 起 访问 非 军事 区 中 的 E-Mail 服务 器 的 
过 程 有 关 的 TCP 报 文 进入 dmz 接口 。 

规则 @ 允 许 与 非 军事 区 中 的 E-Mail 服务 器 发 起 访问 外 部 网 络 中 的 E-Mail 服务 器 的 
过 程 有 关 的 TCP 报 文 进入 dmz 接口 。 

3. outside 接口 输入 方向 配置 的 扩展 分 组 过 滤器 

outside 接口 输入 方向 配置 的 扩展 分 组 过 滤器 由 以 下 规则 组 成 。 

O 协议 类 型 =TCP, 源 IP 地 址 =192. 1. 3. 7/32. 源 端口 号 =80, 目 的 IP 地址 = 
192.1.1.0/24; 正 常 转发 。 

@ 协议 类 型 =TCP, 源 IP 地址 =192. 1.3.0/24, 目 的 IP 地 址 =192.1.2.7/32, 目 的 
端口 号 二 www; 正 常 转发 。 

@ 协议 类 型 =TCP, 源 IP 地 址 二 192. 1. 3. 3/32, 源 端口 号 = 二 smtp, 目 的 IP 地 址 = 
192. 1.2.3/32; 正 常 转发 。 

@ 协议 类 型 =TCP, 源 IP 地址 =192. 1.3.3/32, 目 的 IP 地 址 =192.1.2.3/32, 目 的 
端口 号 二 smtp; 正 常 转发 。 

规则 允许 与 内 部 网 络 中 的 终端 发 起 访问 外 部 网 络 中 的 Web 服务 器 的 过 程 有 关 的 
TCP 报 文 进入 outside 接口 。 该 规则 同时 用 于 保证 该 类 TCP 报 文 能 够 从 低 安 全 级 别 的 
outside 接口 流向 高 安全 级 别 的 inside 接口 。 

规则 @ 允 许 与 外 部 网 络 中 的 终端 发 起 访问 非 军事 区 中 的 Web 服务 器 的 过 程 有 关 的 
TCP 报 文 进入 outside 接口 。 该 规则 同时 用 于 保证 该 类 TCP 报 文 能 够 从 低 安 全 级 别 的 
outside 接口 流向 高 安全 级 别 的 dmz 接口 。 

规则 @ 人 允许 与 非 军事 区 中 的 E-Mail 服务 器 发 起 访问 外 部 网 络 中 的 E-Mail 服务 器 的 
过 程 有 关 的 TCP 报 文 进 入 outside 接口 。 该 规则 同时 用 于 保证 该 类 TCP 报 文 能 够 从 低 
安全 级 别 的 outside 接口 流向 高 安全 级 别 的 dmz 接口 。 

规则 由 允许 与 外 部 网 络 中 的 E-Mail 服务 器 发 起 访问 非 军 事 区 中 的 E-Mail 服务 器 的 
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过 程 有 关 的 TCP 报 文 进入 outside 接口 。 该 规则 同时 用 于 保证 该 类 TCP 报 文 能 够 从 低 
安全 级 别 的 outside 接口 流向 高 安全 级 别 的 dmz 接口 。 


8.5.4 关键 命令 说 明 
以 下 命令 序列 用 于 限制 VLAN 3 向 VLAN 1 转发 IP 分 组 。 





ciscoasa (config)#interface vlan 3 

ciscoasa (config-if)#no forward interface vlan 1 

ciscoasa (config-if)#nameif dmz 

forward interface vlan 1 是 接口 配置 模式 下 使 用 的 命令 ,用 于 恢复 指定 接口 向 
VLAN 1 对 应 的 IP 接口 转发 TP 分 组 的 功能 。 命 令 前 面 加 no, 是 限制 指定 接口 向 VLAN 
1 对 应 的 IP 接口 转发 IP 分 组 。 如 果 ASA5505 只 具有 基本 许可 证 , 则 在 为 第 3 个 接口 命 
名 时 ,必须 先 限制 该 接口 向 其 他 接口 转发 TP. 分 组 的 能 力 。 


855 实验 步骤 
(1) 根据 如 图 8. 35 所 示 的 互连网 结构 放置 和 连接 设备 ,完成 设备 放置 和 连接 后 的 惧 
辑 工 作 区 界面 如 图 8. 36 所 示 。 
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图 8.36 完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 





(2) 完成 路 由 器 Routerl 和 Router2 各 个 接口 的 IP 地 址 和 子 网 掩 码 配 置 过 程 ,完成 
下 一 跳 是 ASA5505 的 默认 路 由 项 配置 过 程 。 完 成 上 述 配 置 过 程 后 ,路 由 器 Routerl 和 
Router2 的 路 由 表 分 别 如 图 8. 37 和 图 8. 38 所 示 。 

(3) 在 CLI( 命 令 行 接口 ) 配 置 方式 下 ,完成 ASA5505 各 个 接口 的 配置 过 程 ,完成 
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Network Port Next Hop IP 
0.0.0.0/0 — 192.1.4.2 


192. 1. 1.0/24 FastEthernet0/0 ver 
192.1.4.0/24 FastEthernetO/1 I 
m 











8.37 路 由 器 Routerl 2& 


Network. Port Next Hop IP 
0.0.0.0/0 = 192.1.5.1 
192.1.3.0/24 FastEthernet0/1 -— 
182.1.5.0/24 FastEthernet0/0 = 

m 








8.38 路 由 器 Router? 路 由 表 


ASA5505 静态 路 由 项 配置 过 程 。 完 成 上 述 配置 过 程 后 , ASA5505 各 个 接口 之 间 只 能 实 
现 IP 分 组 从 高 安全 级 别 的 接口 流向 低 安全 级 别 的 接口 的 单 向 传输 过 程 。 因 此 ,PC0 无 法 
通过 浏览 器 访问 到 Web Server2 。 

(4) 在 CLI( 命 令 行 接口 ) 配 置 方式 下 ,根据 安全 策略 在 inside .dmz 和 outside 接口 配 
置 相应 的 扩展 分 组 过 滤器 ,ASA5505 各 个 接口 之 间 能 够 实现 安全 策略 要 求 的 数据 交换 过 
程 。PC0 通过 浏览 器 访问 Web Server2 的 界面 如 图 8. 39 所 示 。 




















http://182.1.3.T 





Cisco Packet Tracer 


Welcome to Cisco Packet Tracer. Opening doors to new opportunities. Mind Wide 
Open. 


Quick Links: 
A small page. 


























图 8.39 PC0 成 功 访问 Web Server2 的 界面 


值得 说 明 的 是 ,Packet Tracer 中 的 ASA5505 只 能 在 Config( 图 形 配置 ) 方 式 下 完成 
创建 VLAN 的 过 程 。 
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856 ”命令 行 接口 配置 过 程 


1. ASAS5505 命令 行 接口 配置 过 程 
完成 接口 和 静态 路 由 项 配置 过 程 的 命令 序列 如 下 : 


ciscoasa»enable 

Password: 

ciscoasafconfigure terminal 

ciscoasa (config)finterface Ethernet0/0 

ciscoasa (config-if)fswitchport access vlan 1 

ciscoasa (config-if)fexit 

ciscoasa (config)finterface Ethernet0/1 

ciscoasa (config-if)fswitchport access vlan 3 

ciscoasa (config-if)fexit 

ciscoasa (config)finterface Ethernet0/2 

ciscoasa (config-if)fswitchport access vlan 2 

ciscoasa (config-if)fexit 

ciscoasa (config)#no dhcpd address 192.168.1.5-192.168.1.35 inside 
ciscoasa (config) fno dhcpd enable inside 

ciscoasa (config)#no dhcpd auto config outside 

ciscoasa (config)finterface vlan 1 

ciscoasa (config-if)fnameif inside 

ciscoasa (config-if)f$security-level 100 

ciscoasa (config-if)fip address 192.1.4.2 255.255.255.0 
ciscoasa (config-if)fexit 

ciscoasa (config)finterface vlan 2 

ciscoasa (config-if)$nameif outside 

ciscoasa (config-if)fsecurity-level 0 

ciscoasa (config-if)fip address 192.1.5.1 255.255.255.0 
ciscoasa (config-if)fexit 

ciscoasa (config)finterface vlan 3 

ciscoasa (config-if)f$no forward interface vlan 1 

ciscoasa (config-if)fnameif dmz 

ciscoasa (config-if)ftsecurity-level 70 

ciscoasa (config-if)fip address 192.1.2.254 255.255.255.0 
ciscoasa (config-if)fexit 

ciscoasa (config)froute inside 192.1.1.0 255.255.255.0 192.1.4.11 
ciscoasa (config)froute outside 192.1.3.0 255.255.255.0 192.1.5.21 


完成 扩展 分 组 过 滤器 配置 过 程 的 命令 序列 如 下 : 


ciscoasa (config)faccess-list a extended permit tcp 192.1.1.0 255.255.255.0 
host 192.1.3.7 eq www 

ciscoasa(config)faccess-list b extended permit tcp host 192.1.2.7 eq www 192. 
1.3.0 255.255.255.0 
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ciscoasa(config)faccess-list b extended permit tcp host 192.1.2.3 eq smtp host 
192.1.3.3 

ciscoasa (config)#access-list b extended permit tcp host 192.1.2.3 host 192.1. 
3.3 eq smtp 

ciscoasa (config)#access-list c extended permit tcp host 192.1.3.7 eq www 192. 
1.3.0 255.255.255. 

ciscoasa(config)faccess- list c extended permit tcp 192.1.3.0 255.255.255.0 
host 192.1.2.7 eq www 

ciscoasa(config)faccess-list c extended permit tcp host 192.1.3.3 eq smtp host 
192,31.2.3 

ciscoasa(config)faccess-list c extended permit tcp host 192.1.3.3 host 192.1. 
2.3 eq smtp 

ciscoasa(config)faccess-group a in interface inside 

ciscoasa (config)faccess-group b in interface dmz 


ciscoasa (config)faccess-group c in interface outside 


注 : 进入 特权 模式 的 默认 口令 是 Enter。 


2. 命令 列表 
ASA5505 命令 行 接口 配置 过 程 中 使 用 的 命令 及 功能 和 参数 说 明 如 表 8. 5 所 示 。 
表 8.5 命令 列表 
命令 格式 功能 和 参数 说 明 


恢复 某 个 接口 向 另 一 个 指定 接口 转发 IP 分 组 的 功能 ,参数 number 
是 指定 接口 对 应 的 VLAN 编号 


ik: 粗 体 是 命令 关键 字 , 斜 体 是 命令 参数 。 


8.6 ASA5505 服务 策略 实验 


forward interface vlan number 





861 实验 内 容 


如 果 ASA5505 的 使 用 方式 如 图 8. 35 所 示 , 则 ASA5505 连接 非 军事 区 的 dmz 接口 
需要 限制 与 VLAN 1 对 应 的 IP 接口 之 间 的 IP 分 组 转发 能 力 。 因 此 ,对 于 inside 和 dmz 
接口 ,ASA5505 只 能 实现 IP 分 组 inside 接口 至 dmz 接口 的 单 向 传输 过 程 ,即使 在 dmz 接 
口 配置 了 允许 从 dmz 接口 流向 inside 接口 的 扩展 分 组 过 滤器 ,也 不 能 改变 IP 分 组 只 能 从 
inside 接口 流向 dmz 接口 的 限制 。 

实现 图 8. 35 所 示 的 内 部 网 络 中 的 终端 访问 非 军事 区 中 的 服务 器 的 过 程 ,需要 在 
ASA5505 的 inside 接口 配置 服务 策略 ,服务 策略 实施 有 状态 分 组 过 滤器 的 功能 。 对 于 指 
定 的 服务 ,如 果 在 inside 接口 至 dmz 接口 方向 监测 到 与 该 服务 有 关 的 请 求 报 文 , 则 允许 
dmz 接口 至 inside 接口 方向 传输 与 该 服务 有 关 的 响应 报 文 。 

根据 如 图 8. 35 所 示 的 ASA5505 的 使 用 方式 ,要 求实 现 以 下 安全 策略 。 

(1) 允许 非 军事 区 中 的 Web 服务 器 1 和 外 部 网 络 中 的 Web 服务 器 2 向 内 部 网 络 中 
的 终端 提供 FTP 服务 。 


FoS PRERE w^ 


(2) 允许 非 军事 区 中 的 终端 和 外 部 网 络 中 的 终端 向 内 部 网 络 中 的 终端 提供 ICMP 服务 。 

(3) 禁止 其 他 区 域 间 通 信 过 程 。 

实现 上 述 安全 策略 ,要 求 内 部 网 络 中 的 终端 能 够 通过 FTP 访问 非 军事 区 和 外 部 网 络 
中 的 FTP 服务 器 ,能 够 与 非 军事 区 和 外 部 网 络 中 的 终端 交换 ICMP 报 文 。 这 里 假定 图 
8.35 中 的 Web 服务 器 1 和 Web 服务 器 2 同时 提供 HTTP 和 FTP 服务 。 


8.6.2 实验 目的 


(1) 验证 服务 策略 的 工作 原理 。 

(2) 验证 ASA5505 服务 策略 配置 过 程 。 

(3) 验证 服务 策略 控制 不 同 接口 之 间 双 向 传输 过 程 的 原理 。 
(4) 加 深 理解 有 状态 分 组 过 滤器 中 监测 信息 流 的 含义 。 


863 实验 原理 


(1) 定 义 信息 流 类 别 。 该 类 信息 流 中 包含 与 实现 服务 相关 的 信息 流 , 这 里 是 与 实现 
FTP 服务 和 ICMP 服务 相关 的 信息 流 。(2) 对 该 类 信息 流 进行 监测 。 如 果 在 一 个 接口 至 
另 一 个 接口 方向 监测 到 与 实现 FTP 服务 和 ICMP 服务 相关 的 请 求 报 文 , 则 允许 相反 方向 
传输 与 实现 FTP 服务 和 ICMP 服务 相关 的 响应 报 文 。 与 实现 FTP 服务 和 ICMP 服务 相 
关 的 请 求 报 文 只 能 从 高 安全 级 别 接口 流向 低 安 全 级 别 接口 ,因此 ,只 能 由 高 安全 级 别 接口 
连接 的 网 络 中 的 终端 发 起 服务 请 求 。 


8.6.4 关键 命令 说 明 


1. 定义 类 映射 
以 下 命令 序列 用 于 创建 类 映射 ,并 由 该 类 映射 指定 需要 实施 有 状态 监测 的 信息 流 
类 别 。 











ciscoasa (config)#class-map a 
ciscoasa (config-cmap) match default-inspection-traffic 


ciscoasa (config-cmap)fexit 


class-map a 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 有 两 个 : 一 是 创建 名 为 a 的 类 
映射 ;二 是 进入 类 映射 配置 模式 。 

match default-inspection-traffic 是 类 映射 配置 模式 下 使 用 的 命令 , (config-cmap) 4 
是 类 映射 配置 模式 下 的 命令 提示 符 ,该 命令 的 作用 是 定义 类 映射 所 指定 的 信息 流 类 别 。 
default-inspection-traffic 是 默认 的 需要 实施 有 状态 监测 的 信息 流 类 别 , 该 类 信息 流 中 包 
f 3:986 FTP 服务 和 ICMP 服务 有 关 的 信息 流 。 如 果 需 要 监测 多 种 服务 , 则 类 映射 中 要 
求 包含 该 类 信息 流 。 

2. 定义 策略 映射 

以 下 命令 序列 用 于 创建 策略 映射 ,并 由 该 策略 映射 将 某 个 类 映射 与 实施 有 状态 监测 
的 服务 绑 定 在 一 起 。 
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ciscoasa (config)fpolicy-map a 
ciscoasa (config-pmap)fclass a 
ciscoasa (config-pmap-c)finspect ftp 
ciscoasa (config-pmap-c)finspect icmp 
ciscoasa (config-pmap-c)fexit 


ciscoasa (config-pmap)fexit 


policy-map a 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 有 两 个 : 一 是 创建 名 为 a 的 策 
略 映射 ;二 是 进入 策略 映射 配置 模式 。 

class a 是 策略 映射 配置 模式 下 使 用 的 命令 ,(config-pmap) £ 是 策略 映射 配置 模式 下 
的 命令 提示 符 。 该 命令 的 作用 有 两 个 : 一 是 指定 实施 有 状态 监测 的 信息 流 是 由 名 为 a 的 
类 映射 定义 的 信息 流 类 别 ; 二 是 进入 策略 映射 类 配置 模式 。 

inspect ftp 是 策略 映射 类 配置 模式 下 使 用 的 命令 , (config-pmap-c) # 是 策略 映射 类 
配置 模式 下 的 命令 提示 符 , 该 命令 的 作用 是 对 某 类 信息 流 指定 动作 。 这 里 的 动作 是 基于 
FTP 对 该 类 信息 流 实施 有 状态 监测 , 即 如 果 某 个 方向 监测 到 FTP 请 求 消息 ,允许 相反 方 
向 传输 该 FTP 请 求 消息 对 应 的 响应 消息 。 

3. 将 策略 映射 作用 到 接口 

以 下 命令 将 名 为 a 的 策略 映射 作用 到 inside 接口 。 


ciscoasa (config)#service-policy a interface inside 


service-policy a interface inside 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 将 名 为 a 
的 策略 映射 作用 到 inside 接口 。 执 行 该 命令 后 ,如 果 在 从 inside 接口 至 比 它 安全 级 别 低 
的 接口 方向 上 监测 到 名 为 a 的 策略 映射 要 求 监测 的 信息 流 类 别 , 则 允许 相反 方向 传输 该 
类 信息 流 对 应 的 响应 消息 。 


865 实验 步骤 


CD 该 实验 的 互连网 结构 .路 由 器 Routerl 和 Router2 的 配置 过 程 以 及 ASA5505 接 
口 和 静态 路 由 项 的 配置 过 程 均 与 第 8. 5 节 相同 。 

(2) 在 命令 行 接口 (CLI) 配 置 方式 下 ,完成 ASA5505 策略 映射 配置 过 程 。 根 据 配置 
的 策略 映射 ,允许 内 部 网 络 中 的 终端 发 起 访问 非 军 事 区 和 外 部 网 络 中 的 FTP 服务 器 ,这 
里 由 Web Serverl 和 Web Server2 同时 提供 HTTP 和 FTP 服务 ,允许 内 部 网 络 中 的 终 
端 发 起 对 非 军事 区 和 外 部 网 络 中 终端 的 ping 操作 。 除 此 之 外 ,禁止 其 他 不 同 网 络 之 间 的 
通信 过 程 。 

(3) 完成 Web Serverl "Services (Ik 5)" — " FTPCFTP 服务 器 )” 操 作 过 程 ,弹出 如 
图 8. 40 所 示 的 FTP 服务 器 配置 界面 ,默认 状态 下 ,FTP 服务 器 中 已 经 创建 名 为 cisco, H 
SH cisco 的 注册 用 户 , 且 该 注册 用 户 拥有 最 大 访问 权限 。 

(4) 完成 PCO" Desktop 5i fj) "— "Command Prompt( 命 令 提 示 符 )? 操 作 过 程 , 弹 出 
如 图 8. 41 所 示 的 PCO 命令 行 接口 界面 ,通过 输入 命令 完成 对 IP 地 址 为 192. 1. 2. 7 的 
FTP 服务 器 的 访问 过 程 ,192. 1. 2.7 是 Web Serverl 的 IP 地址。 
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图 8.40 Web Serverl FTP 服务 器 配置 界面 
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图 8.41 PCO 成 功 访问 FTP 服务 器 过 程 
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(5) 由 于 名 为 a 的 策略 映射 中 指定 的 需要 实施 有 状态 监测 的 服务 只 有 FTP 和 
ICMP, 因 此 ,PC0 无 法 通过 浏览 器 访问 IP 地 址 同样 为 192. 1. 2. 7 的 Web 服务 器 ,如 
图 8.42 所 示 。 

















http://192.1.2.T 





















































图 8.42 PCO 访问 Web 服务 器 失败 的 界面 


(6) 允许 PCO 和 PCI 发 起 对 其 他 网 络 中 终端 和 服务 器 的 ping 操作 ,其 他 网 络 中 的 终 
端 不 能 发 起 对 PC0 .PC1 和 FTP Server 的 ping 操作 。 


8.6.6 命令 行 接口 配置 过 程 


1. ASA5505 服务 策略 相关 的 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


ciscoasa (config)fclass-map a 

ciscoasa (config-cmap) match default-inspection-traffic 
ciscoasa (config-cmap)fexit 

ciscoasa (config)fpolicy-map a 

ciscoasa (config-pmap)fclass a 

ciscoasa (config-pmap-c)finspect ftp 

ciscoasa (config-pmap-c)finspect icmp 

ciscoasa (config-pmap-c)fexit 

ciscoasa (config-pmap)fexit 


ciscoasa (config)fservice-policy a interface inside 


2. 命令 列表 
ASA5505 命令 行 接 口 配置 过 程 中 使 用 的 命令 及 功能 和 参数 说 明 如 表 8. 6 所 示 。 
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表 8.6 命令 列表 
命令 格式 功能 和 参数 说 明 





创建 类 映射 ,并 进入 类 映射 配置 模式 ,参数 classmap-name 是 类 映 
射 名 ;类 映射 用 于 定义 符合 特定 条 件 的 信息 流 


class-map class map name 





定义 类 映射 所 指定 的 信息 流 类 别 ,default-inspection-traffic 是 默认 


match defaultinspection-traffie | 的 需要 实施 有 状态 监测 的 信息 流 类 别 





创建 策略 映射 ,并 进入 策略 映射 配置 模式 ,参数 name 是 策略 映射 
名 ;策略 映射 用 于 为 类 映射 定义 的 信息 流 指定 动作 


policy-map name 





指定 信息 流 ,参数 elassma p. name 是 类 映射 名 ,表明 该 类 信息 流 是 
TES 49 classma p. name 的 类 映射 中 定义 的 条 件 的 信息 流 


class classmap name 





指定 动作 ,该 动作 是 有 状态 监测 , 即 只 有 在 指定 方向 监测 到 与 某 个 
inspect protocol 服务 相关 的 请 求 消息 通过 后 , 才 人 允许 相 反方 向 通过 该 请 求 消息 对 
应 的 响应 消息 。 参 数 protocol 是 用 于 定义 服务 的 协议 名 
service-policy policymap _ name | 将 某 个 策略 映射 作用 到 指定 接口 。 参 数 policyma p. name 是 策略 
interface int f 映射 名 ,参数 intf 是 接口 名 
ik: 粗 体 是 命令 关键 字 ,斜体 是 命令 参数 。 
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路 由 器 通 过 加 载 特征 库 对 信息 流 实施 入侵 检测 。 如 果 需 要 对 指定 信息 流 实施 入侵 检 
测 , 则 可 以 通过 建立 扩展 分 组 过 滤器 与 人 侵 检测 规则 之 间 的 绑 定 达到 这 一 目的 。 


9.1 入 侵 检测 系统 实验 一 


9.1.1 实验 内 容 


互连网 结构 如 图 9. 1 所 示 ,完成 路 由 器 R 的 接口 和 终端 的 网 络 信 息 配置 过 程 后 ,各 
个 终端 之 间 是 可 以 相互 ping 通 的 。 




















日 志 服务 器 
192.1.1.7/24 


图 9.1 互连网 结构 


在 路 由 器 R 接口 1 输出 方向 设置 入 侵 检测 规则 ,该 规则 要 求 ,一 旦 检测 到 ICMP 
ECHO 请 求 报 文 , 则 丢弃 该 ICMP ECHO 请 求 报 文 , 并 向 日 志 服务 器 发 送 警告 信息 。 启 
动 该 人 侵 检测 规则 后 ,如 果 终 端 C ID 发 起 ping 终端 A 和 B 的 操作 , 则 ping 操作 不 仅 
无 法 完成 ,而 且 会 在 日 志 服务 器 中 记录 警告 信息 。 如 果 终端 A 和 终端 B 发 起 ping 终端 C 
Fil D 的 操作 , 则 ping 操作 依然 能 够 完成 。 


912 实验 目的 


(1) 验证 入 侵 检测 系统 配置 过 程 。 
(2) 验证 入 侵 检测 系统 控制 信息 流传 输 过 程 的 机 制 。 
(3) 验证 基于 特征 库 的 入 侵 检测 机 制 的 工作 过 程 。 
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(4) 验证 特征 定义 过 程 。 
913 实验 原理 


Cisco 集成 在 路 由 器 中 的 人 侵 检测 系统 (Intrusion Detection System, IDO R HHF 
特征 的 入 侵 检测 机 制 。 首 先 需 要 加 载 特 征 库 , 特 征 库 中 包含 用 于 标识 各 种 入 侵 行为 的 信 
息 流 特征 ,一旦 在 某 个 路 由 器 接口 的 输入 或 输出 方向 设置 入 侵 检测 机 制 , 则 需要 采集 通过 
该 接口 输入 或 输出 的 信息 流 , 然 后 与 加 载 的 特征 库 中 的 特征 进行 比较 ,如 果 该 信息 流 与 标 
识 某 种 人 侵 行 为 的 信息 流 特征 匹配 , 则 对 该 信息 流 采取 相关 的 动作 。 因 此 ,特征 库 中 与 每 
一 种 人 侵 行为 相关 的 信息 有 两 部 分 : 一 是 标识 入 侵 行为 的 信息 流 特征 ;二 是 对 具有 入侵 
行为 特征 的 信息 流 所 采取 的 动作 。 


9.1.4 关键 命令 说 明 


1. 确定 特征 库存 储 位 置 
以 下 命令 序列 用 于 确定 特征 库存 储 位 置 。 





Router#mkdir ipsdr 

Create directory filename [ipsdr]? <Enter> 
Created dir flash:ipsdr 

Router#configure terminal 


Router (config)#ip ips config location flash:ipsdr 


mkdir ipsdr 是 特权 模式 下 使 用 的 命令 ,该 命令 的 作用 是 在 闪存 中 创建 一 个 用 于 存储 
特征 库 的 目录 。 该 命令 执行 后 ,会 出 现 提示 信息 (命令 序列 中 没有 命令 提示 符 的 内 容 ) , 需 
要 按 Enter 键 确定 目录 名 。 

ip ips config location flash:ipsdr 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 指定 用 
于 存储 特征 库 的 目录 ,flash:ipsdr 是 指定 用 于 存储 特征 库 的 目录 。 

2. 指定 入 侵 检测 规则 


Router (config)fip ips name al 


ip ips name al 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 指定 名 字 为 al 的 入 侵 检 
测 规则 。 在 将 该 人 侵 检测 规则 作用 到 某 个 路 由 器 接口 的 输入 或 输出 方向 前 ,路 由 器 并 不 
加 载 特征 库 。 

3. 开启 日 志 功 能 

以 下 命令 序列 完成 四 个 功能 : 一 是 将 事件 记录 在 日 志 服 务 器 中 作为 指定 的 事件 通知 
方法 ,检测 到 与 特征 匹配 的 信息 流 称 为 事件 ;二 是 指定 日 志 服 务 器 的 IP 地 址 。 由 于 指定 
的 事件 通知 方法 是 将 事件 记录 在 日 志 服务 器 中 ,因此 ,需要 指定 日 志 服务 器 的 TP 地 址 ;三 
是 指定 在 日 志 信息 中 标记 日 期 和 时 间 , 且 将 时 间 精 确 到 毫秒 ;四 是 为 了 产生 正确 的 日 期 和 
时 间 ,调整 路 由 器 的 时 钟 。 

命令 序列 如 下 : 





Router (config)fip ips notify log 
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Router (Config)#1ogging host 192.1.1.7 

Router (config)#service timestamps log datetime msec 
Router (config)fexit 

Router#clock set 23:54:00 19 November 2016 


ip ips notify log 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 将 事件 记录 在 日 志 服 务 
器 中 作为 指定 的 事件 通知 方法 ,log 表明 将 事件 记录 在 日 志 服 务 器 中 。 

logging host 192. 1. 1. 7 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 指定 192. 1. 1.7 
为 日 志 服 务 器 的 人 P 地址。 

service timestamps log datetime msec 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 要 
求 在 发 送 的 日 志 信息 中 标记 日 期 时 间 , 并 要 求 时 间 精 确 到 毫秒 。 

clock set 23:54:00 19 November 2016 是 特权 模式 下 使 用 的 命令 ,该 命令 的 作用 是 将 
路 由 器 时 钟 设 置 为 2016-11-19 23:54:0。 

4. 配置 每 一 类 特征 

以 下 命令 序列 完成 两 个 功能 : 一 是 释放 所 有 类 别 的 特征 库 ;二 是 指定 需要 加 载 的 特 
征 库 类 别 。 


Router (config)#ip ips signature-category 

Router (config-ips-category)#category all 

Router (config-ips-category-action)#retired true 
Router (config-ips-category-action)#exit 

Router (config-ips-category)#category ios ips basic 
Router (config-ips-category-action)fretired false 
Router (config-ips-category-action)fexit 

Router (config-ips-category)fexit 


Do you want to accept these changes? [confirm] «Enter» 


ip ips signature-category 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 进入 特征 库 分 
类 配置 模式 。 

category all 是 特征 库 分 类 配置 模式 下 使 用 的 命令 ,(config-ips-category)# 是 特征 库 
分 类 配置 模式 下 的 命令 提示 符 。 该 命令 的 作用 有 两 个 : 一 是 指定 所 有 类 别 特征 库 ,all 表 
示 所 有 类 别 特征 库 ; 二 是 进入 指定 类 别 特征 库 的 动作 配置 模式 。 

retired true 是 动作 配置 模式 下 使 用 的 命令 , (config-ips-category-action) 4 是 动作 配 
置 模式 下 的 命令 提示 符 。 该 命令 的 作用 是 释放 指定 类 别 的 特征 库 , 这 里 的 指定 类 别 是 所 
有 类 别 。 各 种 类 别 的 特征 库 都 比较 庞大 ,如 果 加 载 所 有 类 别 的 特征 库 , 则 会 引发 内 存 紧 
张 , 因 此 ,一 般 情况 下 只 加 载 部 分 类 别 特征 库 。 

category ios ips basic 是 特征 库 分 类 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 有 两 个 : 
一 是 指定 特征 库 类 别 ,ios_ips 是 类 别名 ,basic 是 类 别 子 名 , 即 ios ips 类 别 中 的 basic 子 类 
别 ; 二 是 进入 指定 类 别 特征 库 的 动作 配置 模式 。 

retired false 是 动作 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 加 载 指定 类 别 的 特征 
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库 , 这 里 的 指定 类 别 是 ios. ips 类 别 中 的 basic 子 类 别 。 
退出 特征 库 分 类 配置 模式 时 ,会 出 现 提示 信息 , 按 Enter 键 确认 。 
5. 将 规则 作用 到 路 由 器 接口 
命令 序列 如 下 : 


Router (config)#interface FastEthernet0/0 
Router (config-if)fip ips al out 


Router (config-if)fexit 


ip ips al out 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 将 名 为 al 的 入 侵 检测 
规则 作用 到 路 由 器 接口 FastEthernet0/0 的 输出 方向 ,out 表示 输出 方向 。 

6. 重新 定义 特征 

以 下 命令 序列 完成 两 个 功能 : 一 是 重新 配置 编号 为 2004、 子 编号 为 0 的 特征 状态 ;二 
是 重新 配置 发 生 事件 时 的 动作 。 发 生 事件 是 指 检测 到 与 编号 为 2004 . 子 编号 为 0 的 特征 
匹配 的 信息 流 。 


Router (config)#ip ips signature-definition 

Router (config-sigdef)#signature 2004 0 

Router (config-sigdef- sig)#status 

Router (config-sigdef- sig- status)#retired false 

Router (config-sigdef-sig-status)fenabled true 

Router (config-sigdef-sig-status)fexit 

Router (config-sigdef-sig)fengine 

Router (config-sigdef-sig-engine)fevent-action deny-packet-inline 
Router (config-sigdef-sig-engine)fevent-action produce-alert 
Router (config-sigdef-sig-engine)fexit 

Router (config-sigdef-sig)fexit 

Router (config-sigdef)fexit 


Do you want to accept these changes? [confirm] «Enter» 


ip ips signature-definition 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 进入 特征 定义 
模式 。 

signature 2004 0 是 特征 定义 模式 下 使 用 的 命令 ,(config-sigdef) # 是 特征 定义 模式 
下 的 命令 提示 符 ,该 命令 的 作用 有 两 个 : 一 是 指定 编号 为 2004、 子 编号 为 0 的 特征 ;二 是 
进入 该 特征 的 定义 模式 , 即 指定 特征 定义 模式 。 与 编号 为 2004、 子 编号 为 0 的 特征 所 匹 
配 的 报 文 是 ICMP ECHO 请 求 报 文 。 

status 是 指定 特征 定义 模式 下 使 用 的 命令 , (config-sigdef-sig) # 是 指定 特征 定义 模 
式 下 的 命令 提示 符 , 该 命令 的 作用 是 进入 指定 特征 状态 配置 模式 。 

retired false 是 指定 特征 状态 配置 模式 下 使 用 的 命令 , (config-sigdef-sig-status)# 是 
指定 特征 状态 配置 模式 下 的 命令 提示 符 。 该 命令 的 作用 是 加 载 指定 特征 。 

enabled true 是 指定 特征 状态 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 启动 指定 特 
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征 ,启动 指定 特征 是 指 用 该 特征 匹配 需要 检测 入 侵 行为 的 信息 流 。 

engine 是 指定 特征 定义 模式 下 使 用 的 命令 ,该 命令 的 作用 是 进入 指定 特征 引擎 配置 
模式 。 

event-action deny-packet-inline 是 指定 特征 引擎 配置 模式 下 使 用 的 命令 , (config- 
sigdef-sig-engine) # 是 指定 特征 引擎 配置 模式 下 的 命令 提示 符 。 该 命令 的 作用 是 将 在 线 
丢弃 作为 对 与 指定 特征 匹配 的 信息 流 所 采取 的 动作 。 

event-action produce-alert 是 指定 特征 引擎 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 
将 发 送 警 告 消息 作为 对 与 指定 特征 匹配 的 信息 流 所 采取 的 动作 。 

退出 特征 定义 模式 时 ,会 出 现 提示 信息 , 按 Enter 键 确认 。 


915 实验 步骤 


(1) 根据 如 图 9. 1 所 示 互 连 网 结构 放置 和 连接 设备 ,完成 设备 放置 和 连接 后 的 逻辑 
工作 区 界面 如 图 9. 2 所 示 。 完 成 路 由 器 接口 IP 地 址 和 子 网 掩 码 配置 过 程 , 根 据 路 由 器 接 
口 配置 的 信息 完成 各 个 终端 Syslog Server( 日 志 服 务 器 ) 的 网 络 信息 配置 过 程 ,验证 终端 
之 间 的 连通 性 。 
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图 9.2 完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 


(2) 在 CLI( 命 令 行 接口 ) 配 置 方 式 下 ,完成 路 由 器 Router 入 侵 检测 系统 配置 过 程 。 
配置 的 入侵 检测 规则 使 路 由 器 Router 接口 FastEthernet0/0 输出 方向 丢弃 与 编号 为 
2004 . 子 编号 为 0 的 特征 匹配 的 ICMP ECHO 请 求 报 文 。 

(3) 验证 PC2 不 能 ping 通 PC0, 但 PCO 可 以 ping 通 PC2。 进 行 PC2 ping PCO 的 操 
作 后 ,日 志 服务 器 将 记录 该 事件 ,日 志 服 务 器 记录 的 事件 如 图 9. 3 所 示 。 


syslog Server 


Physical | Config | Services | Desktop | Software/Services | 
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Syslog 
Service © 0n 





Tine Hostie Message 





190? 21 00:07:58.009 192. 1.1.254 | KTPS-4-STGHATURE: Sig:2004 Subsig:0 Sev: 











图 9.3 日 志 服 务 器 记录 的 事件 


916 命令 行 接口 配置 过 程 


1. Router 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router>enable 

Router#configure terminal 

Router (config)#interface FastEthernet0/0 

Router (config-if)#no shutdown 

Router (config-if)#ip address 192.1.1.254 255.255.255.0 
Router (config-if)#exit 

Router (config)#interface FastEthernet0/1 

Router (config-if)#no shutdown 

Router (config-if)#ip address 192.1.2.254 255.255.255.0 
Router (config-if)#exit 

Router#mkdir ipsdr 

Create directory filename [ipsdr]? <Enter> 

Created dir flash:ipsdr 

Router#configure terminal 

Router (config)#ip ips config location flash:ipsdr 
Router (config)#ip ips name al 

Router (config)#ip ips notify log 

Router (config)flogging host 192.1.1.7 

Router (config)ftservice timestamps log datetime msec 
Router (config)fexit 

Router#clock set 23:54:00 19 November 2016 
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Router# configure terminal 


Router (config)fip ips signature-category 


Router (config-ips-category)fcategory all 


Router (config-ips-category-action)fretired true 


Router (config-ips-category-action)fexit 


Router (config-ips-category)fcategory ios ips basic 


Router (config-ips-category-action)fretired false 


Router (config-ips-category-action)fexit 


Router (config-ips-category)fexit 


Do you want to accept these changes? [confirm] «Enter» 


Router (config)finterface FastEthernet0/0 


Router (config-if)fip ips al out 


Router (config-if)fexit 


Router (config)fip ips signature-definition 


Router (config-sigdef)fsignature 2004 0 


Router (config-sigdef-sig)fstatus 


Router (config-sigdef-sig-status)fretired false 


Router (config-sigdef-sig-status)fenabled true 


Router (config-sigdef-sig-status)fexit 


Router (config-sigdef-sig)fengine 


Router (config-sigdef-sig-engine)fevent-action deny-packet-inline 


Router (config-sigdef-sig-engine)fevent-action produce-alert 


Router (config-sigdef-sig-engine)fexit 


Router (config-sigdef-sig)fexit 


Router (config-sigdef)fexit 


Do you want to accept these changes? [confirm] «Enter» 


2. 命令 列表 


路 由 器 命令 行 接口 配置 过 程 中 使 用 的 命令 及 功能 和 参数 说 明 如 表 9. 1 所 示 。 


命令 格式 


表 9.1 命令 列表 
功能 和 参数 说 明 





mkdir director y-name 


创建 目录 ,参数 directory-name 是 目录 名 





ip ips config location ur/ 


指定 用 于 存放 特征 库 的 位 置 ,参数 url 是 用 于 指定 位 置 的 统一 资 
源 定位 符 , 一 般 情 况 下 ,参数 url 是 用 于 指定 目录 的 路 径 , 如 
flash:ipsdr 





ip ips name ipsname [list acl] 


指定 一 个 人 侵 检测 规则 ,参数 ipsname 是 规则 名 。 可 以 指定 一 个 
分 组 过 滤器 ,如 果 指 定 分 组 过 滤器 , 则 只 对 分 组 过 滤器 允许 通过 的 
信息 流 进 行 入 侵 检测 。 参 数 acl 是 分 组 过 滤器 编号 





ip ips notify log 


指定 将 发 送 警告 消息 给 日 志 服务 器 作为 事件 通知 方法 





logging host ipaddress 





指定 日 志 服务 器 的 IP 地 址 ,参数 ipaddress 是 日 志 服 务 器 的 IP 
地 址 
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续 表 
pv 格 式 功能 和 参数 说 明 


ip ips signature-category 进入 特征 库 分 类 配置 模式 

指定 某 个 类 别 特征 库 , 参 数 category 用 于 指定 类 别 , 如 果 存在 子 类 
category category [subcategory] | 别 的 话 , 则 用 参数 subcategory 指定 子 类 别 ,然后 进入 指定 类 别 特 
征 库 的 动作 配置 模式 

retired (true| false) false 表示 加 载 指定 类 别 特征 库 ,true 表示 释放 指定 类 别 特征 库 
将 以 参数 ipsname 为 名 字 的 入 侵 检测 规则 作用 到 路 由 器 接口 输 
人 或 输出 方向 。in 表示 输入 方向 ,out 表示 输出 方向 














ip ips ipsname (in| out) 








ip ips signature-definition 进入 特征 定义 模式 
€—É 指定 某 个 特征 ,参数 signature-id 是 特征 编号 ,如 果 存 在 子 编号 的 
Po 话 , 则 用 参数 [ subsignatureid ] 指 定子 编号 ,然后 进入 该 特征 的 定 
[ subsignature-id ] M " 
义 模式 
enabled (true| false} 启动 或 关闭 指定 特征 。true 表示 启动 ,false 表示 关闭 
status 进入 指定 特征 的 状态 配置 模式 
engine 进入 指定 特征 的 引擎 配置 模式 


指定 发 生 事件 时 采取 的 动作 。 参 数 action 用 于 指定 动作 ,发 生 事 
件 是 指 检测 到 与 指定 特征 匹配 的 信息 流 


注 : 粗 体 是 命令 关键 字 ,斜体 是 命令 参数 。 


9.2 入 侵 检 测 系统 实验 二 


event-action action 





921 实验 内 容 


在 图 9. 1 中 的 路 由 器 R 接口 1 输出 方向 设置 入 侵 检测 规则 ,该 规则 要 求 ,一 旦 检测 
到 终端 C 发 送 给 终端 A 的 ICMP ECHO 请 求 报 文 , 则 丢弃 该 ICMP ECHO 请 求 报 文 ,并 
向 日 志 服 务 器 发 送 警 告 信息 。 启 动 该 人 侵 检测 规则 后 ,如 果 终 端 C 发 起 ping 终端 A 的 
操作 , 则 ping 操作 不 仅 无 法 完成 ,而 且 在 日 志 服 务 器 中 记录 警告 信息 ,其 他 终端 之 间 的 
ping 操作 依然 能 够 正常 完 


922 实验 目的 


(1) 验证 对 特定 信息 流 实施 人 侵 检测 的 过 程 。 
(2) 验证 指定 信息 流 的 入 侵 检测 规则 配置 过 程 。 


923 实验 原理 


用 扩展 分 组 过 滤器 指定 信息 流 类 别 , 将 用 于 指定 信息 流 类 别 的 扩展 分 组 过 滤器 与 人 
侵 检测 规则 绑 定 在 一 起 。 
相关 的 命令 行 接口 配置 过 程 如 下 。 
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Router (config)# access-list 101 permit ip host 192.1.2.1 host 192.1.1.1 
Router (config)faccess-list 101 deny ip any any 


Router (config)fip ips name al list 101 


编号 为 101 的 扩展 分 组 过 滤器 允许 继续 传输 的 IP 分 组 是 源 IP 地 址 是 PC2 的 IP 地 
ht 192. 1. 2. 1, EL RS IP Hehi PCO fj IP Jub 192. 1. 1. 1 89 IP HH... GE 329 al 的 入 
侵 检测 规则 时 , 绑 定编 号 为 101 的 扩展 分 组 过 滤器 ,这 表示 只 对 编号 为 101 的 扩展 分 组 过 
滤器 允许 继续 传输 的 TP 分 组 实施 名 为 al 的 入侵 检测 规则 , 即 只 对 PC2 发 送 给 PCO 的 IP 
分 组 实施 名 为 al 的 入侵 检测 规则 。 
其 他 过 程 与 第 9. 1 节 相 同 ,这 里 不 再 袭 述 。 
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网 络 设备 配置 实验 


Cisco Packet Tracer 通过 单 击 某 个 网 络 设备 启动 配置 界面 ,在 配置 界面 中 选择 图 形 
接口 (Config) 或 CLI( 命 令 行 接口 ) 开 始 网 络 设备 的 配置 过 程 ,但 实际 网 络 设备 的 配置 过 
程 与 此 不 同 。 目 前 存在 多 种 配置 真实 网 络 设备 的 方式 ,主要 有 控制 台 端 口 配置 方式 、 
Telnet 配置 方式 .Web 界面 配置 方式 SNMP 配置 方式 和 配置 文件 加 载 方式 等 ,对 于 交换 
机 和 路 由 器 等 ,Packet Tracer 支持 除 Web 界面 配置 方式 以 外 的 其 他 所 有 配置 方式 。 对 
于 无 线路 由 器 ,Packet Tracer 支持 Web 界面 配置 方式 。 


10.1 网 络 设备 控制 台 端口 配置 实验 


10.1.1 实验 内 容 


交换 机 和 路 由 器 出 厂 时 只 有 默认 配置 ,如 果 需 要 对 新 购买 的 交换 机 和 路 由 器 进 行 配 
置 ,最 直接 的 配置 方式 是 采用 图 10. 1 所 示 的 控制 台 端口 配置 方式 。 用 串 行 口 连接 线 互 连 
计算 机 的 RS-232 串 行 口 和 网 络 设备 的 Consol( 控 制 台 ) 端 口 ,启动 计算 机 的 超级 终端 程 
序 ,完成 超级 终端 程序 相关 参数 的 配置 过 程 , 按 Enter 键 进入 网 络 设备 的 命令 行 接口 配置 
界面 。 











RS-232 控制 台 端口 ] - 控制 台 端 口 _ LE 
申 行 口 连 接线 品行 口 连接 线 
(a) 路 由 器 配置 方式 (b) 交换 机 配置 方式 
图 10.1 控制 台 端 口 配置 方式 











10.1.2 实验 目的 


(1) 验证 真实 网 络 设备 的 初始 配置 过 程 。 
(2) 验证 超级 终端 程序 相关 参数 的 配置 过 程 。 
(3) 验证 通过 超级 终端 程序 进入 网 络 设备 命令 行 接口 配置 过 程 的 步骤。 


1013 实验 原理 


完成 图 10. 1 所 示 的 连接 过 程 后 ,一 旦 启动 计算 机 的 超级 终端 程序 , 则 计算 机 成 为 路 
由 器 或 交换 机 的 终端 ,用 于 输入 命令 和 显示 命令 执行 结果 。 
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10.1.4 实验 步骤 


(1) 在 逻辑 工作 区 中 放置 终端 和 网 络 设备 , 用 Consol( 串 行 口 连接 线 ) 互 连 终端 的 
RS-232 端口 和 网 络 设备 的 Console( 控 制 台 端 口 )。 完 成 设备 放置 和 连接 后 的 界面 如 
图 10. 2 所 示 。 


Move Oaject Set Tiled Background 


O [Scenaro — M 


“| Cnew Delete 


I| | Toggle POU List Window 
































图 10.2 完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 


(2) 单 击 终端 PC0 ,启动 终端 的 配置 界面 ,完成 “Desktop( 桌 面 )”->“Terminal( 超 级 
终端 程序 ) ”操作 过 程 ,弹出 如 图 10. 3 所 示 的 PCO 超级 终端 程序 配置 界面 , 单 击 OK 按 
钮 ,弹出 如 图 10.4 所 示 的 交换 机 Switch CLI( 命 令 行 接口 ) 配 置 界 面 。PC1 可 以 用 同样 的 
方式 进入 路 由 器 Router CLI( 命 令 行 接口 ) 配 置 界 面 。 通 过 CLI( 命 令 行 接口 ) 配 置 界 面 完 
成 对 网 络 设备 的 初始 配置 过 程 。 








Physical | Config | Desktop | Software/Services | 








Port Configuration 
Bits Per Second: 
Data Bits: 
Parity: 

Stop Bits: 

Flow Control: 








图 10.3 PC0 超级 终端 程序 配置 界面 


第 10 章 网 络 设备 配置 实验 


6> PCO 


Physical | Config | Desktop | Software/Services | 





24 FastEthernet/IEEE 802.3 interface (s) 


63488K bytes of flash-simulated non-volatile configuration memory. 
Base ethernet MAC Address: 0002.176C.95E€ 

Motherboard assembly number: 73-5781-09 

Power supply part number: 34-0965-01 

Motherboard serial number: FOC061004SZ 

Power supply serial number: DAB0609127D 

Model revision number: CO 

Motherboard revision number: A0 

Model number: WS-C2950-24 

System serial number: FHK0610Z0WC 


Cisco Internetwork Operating System Software 
IOS (tm) C2950 Software (C2950-I6Q4L2-M), Version 12.1(22)EA4, RELEASE 
SOFTWARE (£c1) 

Copyright (c) 1986-2005 by cisco Systems, Inc. 

Compiled Wed 18-May-05 22:31 by jharirba 


Press RETURN to get started! 




















10.4 通过 超级 终端 程序 进入 的 交换 机 命令 行 接口 配置 界面 


10.2 网 络 设备 Telnet 配置 实验 


10.2.1 实验 内 容 


构建 如 图 10. 5 所 示 的 互连网 ,实现 用 终端 远程 配置 交换 机 S1, S2 和 路 由 器 R 的 过 
程 。 实 现 终端 远程 配置 网 络 设备 的 前 提 有 两 个 : 一 是 每 一 个 网 络 设备 已 经 定义 管理 地 
址 ,路 由 器 接口 的 TP 地 址 可 以 作为 路 由 器 的 管理 地 址 ;二 是 终端 与 网 络 设备 管理 地 址 所 
标识 的 IP 接口 之 间 存 在 传输 路 径 。 








" A RADIUS 服务 器 
器 S!  1921.125424 一 -192.1.2.25424 82 
"EO a > f 
192.1.1.1/24 管理 地 址 管理 地 址 192.1.2.1/24 
默认 网 关 192.1.1.253/24 192.1.2.253/24 默认 网 关 
192.1.1.254 默认 网 关 默认 网 关 192.1.2.254 


192.1.1.254 192.1.2.254 
图 10.5 互连网 结构 


1022 实验 目的 
(1) 验证 定义 交换 机 管理 地 址 的 过 程 。 
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(2) 验证 交换 机 默认 网 关 地 址 的 配置 过 程 。 

(3) 验证 网 络 设备 各 种 鉴别 用 户 身份 机 制 的 工作 过 程 。 
(4) 验证 通过 Telnet 配置 网 络 设备 相关 参数 的 配置 过 程 。 
(5) 验证 网 络 设备 远程 配置 的 过 程 。 


10.2.3 实验 原理 


实现 终端 远程 配置 网 络 设备 的 前 提 是 ,建立 终端 与 远程 设备 管理 地 址 所 标识 的 TP 接 
口 之 间 的 传输 路 径 。 对 于 图 10. 5 所 示 的 交换 机 S1 ,如 果 交 换 机 ST 连接 终端 的 交换 机 端 
口 属于 默认 VLAN— VLAN 1, 则 管理 地 址 应 该 是 VLAN 1 对 应 的 IP 接口 的 IP 地址 ， 
否则 ,终端 与 管理 地 址 所 标识 的 TP 接口 之 间 无 法 建立 传输 路 径 。 对 于 交换 机 S2, 如 果 交 
换 机 S2 连接 路 由 器 R 的 交换 机 端口 属于 默认 VLAN— VLAN 1, 则 管理 地 址 应 该 是 
VLAN 1 对 应 的 IP 接口 的 IP 地 址 , 且 以 路 由 器 连接 交换 机 S2 的 接口 的 TP 地 址 为 默 
认 网 关 地 址 。 同 样 ,终端 和 路 由 器 接口 之 间 也 必须 存在 传输 路 径 。 


10.2.4 关键 命令 说 明 


1. 交换 机 管理 地 址 和 默认 网 关 地 址 配置 过 程 

为 二 层 交 换 机 某 个 VLAN 对 应 的 IP 接口 配置 的 IP 地 址 是 交换 机 的 管理 地 址 ,二 层 
交换 机 的 TP 接口 之 间 不 能 转发 IP 分 组 。 以 下 命令 序列 用 于 为 交换 机 配置 管理 地 址 和 该 
管理 地 址 对 应 的 默认 网 关 地 址 。 





Switch (config)#interface vlan 1 

Switch (config-if)#no shutdown 

Switch(config-if)fip address 192.1.1.253 255.255.255.0 

Switch(config-if)fexit 

Switch(config)fip default-gateway 192.1.1.254 

interface vlan 1 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 定义 VLAN 1 对 应 的 IP 
接口 ,并 进入 该 IP 接口 的 配置 模式 ,交换 机 执行 该 命令 后 进入 接口 配置 模式 。 在 接口 配 
置 模式 下 ,可 以 为 该 IP 接口 配置 P 地 址 和 子 网 掩 码 。 

no shutdown 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 开启 VLAN 1 对 应 的 
IP 接口 ,默认 状态 下 ,该 IP 接口 是 关闭 的 。 如 果 某 个 IP 接口 是 关闭 的 , 则 不 能 对 该 卫 接 
口 进 行 访问 。 

ip address 192. 1. 1. 253 255. 255. 255. 0 是 接口 配置 模式 下 使 用 的 命令 ,该 命令 的 作 
用 是 为 指定 IP 接口 (这 里 是 VLAN 1 对 应 的 IP 接口 ) 配 置 IP 地 址 192. 1.1. 253 和 子 网 
掩 码 255. 255. 255.0, 

值得 强调 的 是 ,二 层 交换 机 中 定义 的 VLAN 对 应 的 IP 接口 与 三 层 交 换 机 中 定义 的 
VLAN 对 应 的 IP 接口 有 所 不 同 ,只 是 作为 管理 地 址 标识 的 TP 接口 ,用 于 实现 与 远程 终 
端 之 间 的 通信 过 程 。IP 接口 之 间 不 能 转发 IP 分 组 ,也 不 会 生成 用 于 指明 通 往 P 接口 对 
应 VLAN 的 传输 路 径 的 直 连 路 由 项 。 

ip default-gateway 192. 1. 1. 254 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 为 二 层 
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交换 机 指定 默认 网 关 地 址 192.1. 1. 254。 如 果 和 交换 机 不 在 同一 个 网 络 的 终端 需要 访问 
该 交换 机 , 则 该 交换 机 必须 配置 默认 网 关 地 址 。 和 终端 一 样 ,如 果 IP 分 组 的 目的 地 和 交 
换 机 不 在 同一 个 网 络 ,交换 机 首先 将 该 IP 分 组 发 送 给 由 默认 网 关 地 址 指定 的 路 由 器 。 

2. 口令 鉴别 方式 

以 下 命令 序列 指定 用 口令 鉴别 Telnet 登录 用 户 的 身份 。 


Switch(config)fline vty 0 4 
Switch(config-line)fpassword dcba 
Switch(config-line)flogin 


Switch(config-line)fexit 


由 于 Telnet 是 终端 仿真 协议 ,用 于 模拟 终端 输入 方式 ,因此 ,需要 在 交换 机 仿真 终端 
配置 模式 下 配置 鉴别 授权 用 户 的 方式 。 

line vty 0 4 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 有 两 个 : 一 是 定义 允许 同时 建 
立 的 Telnet 会 话 数 量 ,0 和 4 是 允许 同时 建立 的 Telnet 会 话 的 编号 范围 ;二 是 从 全 局 模 
式 进入 仿真 终端 配置 模式 ,仿真 终端 配置 模式 下 完成 的 配置 同时 对 编号 范围 为 0~4 的 
Telnet 会 话 起 作用 。 

password dcba 是 仿真 终端 配置 模式 下 使 用 的 命令 , (config 一 line) # 是 仿真 终端 配 
置 模式 下 的 命令 提示 符 。 该 命令 的 作用 是 配置 Telnet 登录 时 需要 输入 的 口令 , 即 交 换 机 
用 口令 deba 鉴别 Telnet 登录 用 户 的 身份 。 

login 是 仿真 终端 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 指定 用 口令 鉴别 Telnet 
登录 用 户 的 身份 , 即 Telnet 登录 用 户 需要 提供 用 命令 password 指定 的 口令 。 

3. 本 地 鉴别 方式 

以 下 命令 序列 指定 用 本 地 定义 的 授权 用 户 鉴别 Telnet 登录 用 户 的 身份 。 


Switch(config)fusername aaa2 password bbb2 
Switch (config)#line vty 0 4 
Switch (config-line)#login local 


Switch (config-line)#exit 


login local 是 仿真 终端 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 指定 用 本 地 定义 的 
授权 用 户 鉴 别 Telnet 登录 用 户 的 身份 , 即 Telnet 登录 用 户 需要 提供 某 个 本 地 定义 的 授权 
用 户 的 用 户 名 和 口令 。 

4. 统一 鉴别 方式 

统一 鉴别 方式 的 特点 有 两 个 : 一 是 基于 用 户 名 和 口令 鉴别 登录 用 户 身份 。 二 是 统一 
在 鉴别 服务 器 中 定义 授权 用 户 。 以 下 命令 序列 用 于 指定 统一 鉴别 方式 ,鉴别 服务 器 的 TP 
地 址 、 路 由 器 与 鉴别 服务 器 之 间 的 共享 密 钥 及 路 由 器 名 等 。 


Router (config)faaa new-model 

Router (config)faaa authentication login al group radius 
Router (config)fline vty 0 4 

Router (config-line)flogin authentication al 


Router (config-line)fexit 
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Router (config)fradius-server host 192.1.2.1 
Router (config)fradius-server key 123456 


Router (config)fhostname router 


login authentication al 是 仿真 终端 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 指定 用 
名 为 al 的 鉴别 机 制 列 表 定 义 的 鉴别 机 制 鉴别 Telnet 登录 用 户 的 身份 ,名 为 al 的 鉴别 机 
制 列表 定义 的 鉴别 机 制 是 统一 鉴别 机 制 。 因 此 ,需要 在 AAA 服务 器 中 统一 定义 授权 用 
户 ,同时 需要 指定 AAA 服务 器 的 IP 地 址 和 与 AAA 服务 器 之 间 的 共享 密 钥 。 

5. 特权 模式 加 密 

以 下 命令 用 于 设置 进入 特权 模式 的 口令 。 





























Switch (config)#enable password abcd 


router (config)#enable password abcd 


enable password abcd 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 设置 进入 特权 模式 
的 口令 。 如 果 没 有 设置 进入 特权 模式 的 口令 , 则 用 Telnet 远程 登录 网 络 设备 后 ,远程 上 
户 只 具有 最 低 的 网 络 设备 配置 权限 。 因 此 ,需要 对 远程 配置 的 网 络 设备 设置 进入 特权 模 
式 的 口令 ,使 远程 用 户 具有 正常 的 网 络 设备 配置 权限 。 


102.5 实验 步骤 


COD 根据 如 图 10. 5 所 示 的 互连网 结构 放置 和 连接 设备 ,完成 设备 放置 和 连接 后 的 退 
辑 工作 区 界面 如 图 10. 6 所 示 。 
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图 10.6 完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 


(2) 在 CLI( 命 令 行 接口 ) 配 置 方式 下 ,完成 交换 机 Switch0、Switchl 和 路 由 器 
Router 与 实现 远程 配置 过 程 有 关 参 数 的 配置 过 程 。 交 换 机 Switch0 的 管理 地 址 为 
192. 1.1.253, 鉴 别 Telnet 登录 用 户 身份 的 机 制 为 本 地 鉴别 ,本 地 定义 名 为 aaa2 .口令 为 
bbb2 的 授权 用 户 。 交 换 机 Switchl 的 管理 地 址 为 192. 1. 2. 253 ,鉴别 Telnet 登录 用 户 身 
份 的 机 制 为 口令 鉴别 ,设置 口令 dcba。 路 由 器 Router 任何 接口 的 IP 地 址 可 以 作为 管理 
地 址 ,鉴别 Telnet 登录 用 户 身份 的 机 制 为 统一 鉴别 ,设置 AAA 服务 器 。 在 AAA 服务 器 
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中 统一 定义 授权 用 户 ,AAA 服务 器 的 配置 界面 如 图 10. 7 所 示 。 











© AAA Server 


Physical | Config | Services | Desktop | Software/Services | 





SERVICES 
HTTP 


LL Ducp 1j Service Gon! O off 
DHCPv6 
Cent]? 

ServerType | Radius 


Client Name Client IP — Server Type 


Password 


Password 

















图 10.7. AAA 服务 器 配置 界面 














(3) 启动 PCO Telnet 登录 交换 机 Switch0 的 过 程 , 输 入 的 管理 地 址 为 192. 1. 1.253, 
鉴别 用 户 身份 过 程 中 分 别 输入 交换 机 Switch0 本 地 定义 的 授权 用 户 的 用 户 名 aaa? 和 口 
令 bbb2。 成 功 登 录 后 ,出 现 如 图 10. 8 所 示 的 交换 机 Switch0 的 命令 行 接口 界面 ,在 用 户 
模式 下 输入 用 于 进入 特权 模式 的 命令 enable 后 ,要 求 输入 进入 特权 模式 的 口令 ,输入 口 


Physical | Config | Desktop | Software/Services 


Command Prompt 








图 10.8 PCO Telnet 登录 交换 机 Switch 的 过 程 
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令 后 ,进入 交换 机 Switch0 的 特权 模式 。 

(4) 启动 PCO Telnet 登录 交换 机 Switchl 的 过 程 ,输入 的 管理 地 址 为 192. 1. 2. 253. 
鉴别 用 户 身份 过 程 中 输入 交换 机 Switchl 仿真 终端 配置 模式 下 配置 的 鉴别 口令 deba, 成 
功 登 录 后 ,出 现 如 图 10.9 所 示 的 交换 机 Switchl 的 命令 行 接口 界面 ,从 用 户 模 式 进入 特 
权 模式 的 过 程 与 交换 机 Switch 相同 。 





Physical | Config | Desktop | Software/Services 


Command Prompt 








图 10.9 PCO Telnet 登录 交换 机 Switchl 的 过 程 


(5) 启动 PCO Telnet 登录 路 由 器 Router 的 过 程 , 输 入 的 管理 地 址 为 路 由 器 Router 
其 中 一 个 接口 的 全 地 址 192. 1. 1. 254, 鉴 别 用 户 身份 过 程 中 分 别 输入 在 AAA 服务 器 中 
统一 定义 的 授权 用 户 的 用 户 名 aaal 和 口令 bbb1。 成 功 登 录 后 ,出 现 如 图 10. 10 所 示 的 
路 由 器 Router 的 命令 行 接口 界面 ,从 用 户 模式 进入 特权 模式 的 过 程 与 交换 机 Switch0 
相同 。 


1026 命令 行 接口 配置 过 程 


1. Switchü 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Switch>enable 

Switch#configure terminal 

Switch(config)finterface vlan 1 

Switch (config-if)#no shutdown 

Switch (config-if)#ip address 192.1.1.253 255.255.255.0 
Switch (config-if)łexit 

Switch (config) #ip default-gateway 192.1.1.254 


Switch (config) #łusername aaa2 password bbb2 
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Physical | Config | Desktop | Software/Services 
P= r pu 





图 10.10 PCO Telnet 登录 路 由 器 Router 的 过 程 


Switch (config)#line vty 0 4 
Switch (config-line)#login local 
Switch(config-line)fexit 


Switch(config)fenable password abcd 


2, Switchl 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Switch>enable 

Switch#configure terminal 

Switch (config)#interface vlan 1 

Switch (config-if)#no shutdown 

Switch (config-if)#ip address 192.1.2.253 255.255.255.0 
Switch (config-if)#exit 

Switch (config) #ip default-gateway 192.1.2.254 
Switch (config)#line vty 0 4 

Switch (config-line)#password dcba 

Switch (config-line)#login 

Switch (config-line)#exit 


Switch (config) #łenable password abcd 


3. Router 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router»enable 


Router# configure terminal 
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Router (config)finterface FastEthernet0/0 


Router (config-if)f$no shutdown 
Router (config-if)fip address 192.1.1.254 255.255.255.0 


Router (config-if)fexit 


Router (config)finterface FastEthernet0/1 


Router (config-if)fno shutdown 
Router (config-if)fip address 192.1.2.254 255.255.255.0 


Router (config-if)fexit 


Router (config)faaa new-model 


Router (config)faaa authentication login al group radius 


Router (config)fline vty 0 4 


Router (config-line)flogin authentication al 


Router (config-line)fexit 


Router (config)fradius-server host 192.1.2.1 


Router (config)fradius-server key 123456 


Router (config)#hostname router 


router (config)fenable password abcd 


4. 命令 列表 
交换 机 和 路 由 器 命令 行 接口 配置 过 程 中 使 用 的 命令 及 功能 和 参数 说 明 如 表 10. 1 
所 示 。 
表 10.1 命令 列表 
命令 格式 功能 和 参数 说 明 
启动 一 组 Telnet 会 话 的 配置 过 程 ,进入 仿真 终端 配置 模式 ,参数 
line vty linenumber [ending- linenumber 是 起 始 Telnet 会 话 编号 ,参数 ending line-number 是 
linenumber ) 结束 Telnet 会 话 编号 。 如 果 没有 设置 参数 ending line-number ,只 


login [local | 


启动 单个 编号 为 Linenumber 的 Telnet 会 话 的 配置 过 程 


设置 用 于 鉴别 Telnet 登录 用 户 身份 的 机 制 ,login 为 口令 鉴别 机 
制 ,login local 为 本 地 鉴别 机 制 





login authentication [Listname | | 使 用 由 参数 Listname 为 列表 名 的 鉴别 机 制 列表 指定 的 鉴别 机 制 
default | 或 者 默认 鉴别 机 制作 为 鉴别 Telnet 登录 用 户 身 份 的 鉴别 机 制 





password password 


设置 口令 鉴别 机 制 下 用 于 鉴别 Telnet 登录 用 户 身份 的 口令 ,参数 
password 是 设置 的 口令 





注 : 粗 体 是 命令 关键 字 ,斜体 是 命令 参数 。 


10.3 


10.3 无 线路 由 器 Web 界面 配置 实验 


1 实验 内 容 


仿真 真实 的 无 线路 由 器 配置 过 程 的 Web 界面 配置 无 线路 由 器 的 过 程 如 图 10. 11 所 
月 双 绞 线 缆 互 连 终端 与 无 线路 由 器 的 LAN 端口 ,终端 选择 通过 DHCP 自动 获取 网 络 





mH 
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信息 的 方式 。 启 动 终端 浏览 器 ,在 地 址 栏 中 输入 自动 获取 的 网 络 信息 中 的 默认 网 关 地 址 
后 ,弹出 无 线路 由 器 登录 界面 。 完 成 登录 过 程 后 ,进入 无 线路 由 器 配置 界面 。 


g "& 
Hi 


终端 无 线路 由 器 
10.11 Web 界面 配置 无 线路 由 器 过 程 








1032 实验 目的 


(1) 验证 真实 无 线路 由 器 的 配置 过 程 。 
(2) 验证 无 线路 由 器 DHCP 服务 功能 。 
(3) 验证 Web 界面 配置 无 线路 由 器 的 过 程 。 


1033 实验 原理 


默认 状态 下 ,无 线路 由 器 的 DHCP 服务 功能 是 开启 的 ,因此 , 当 终端 接 和 人 无 线路 由 器 
的 LAN 端口 , 且 选 择 通过 DHCP 自动 获取 网 络 信息 的 方式 时 ,由 无 线路 由 器 为 终端 分 配 
网 络 信 息 。 网 络 信息 中 的 默认 网 关 地 址 是 无 线路 由 器 连接 内 部 网 络 的 接口 (也 称 LAN 
接口 ) 的 IP 地 址 。 该 卫 地 址 也 是 无 线路 由 器 的 管理 地 址 ,因此 ,可 以 通过 在 浏览 器 中 输 
ATP 地 址 访问 无 线路 由 器 的 配置 界面 。 


1034 实验 步骤 


(1) 在 逻辑 工作 区 中 放置 无 线路 由 器 Wireless Router0 和 PC0 ,用 直通 线 互 连 PCO 
的 快速 以 太 网 端口 FastEthernet0 和 无 线路 由 器 的 Ethernet 1。 完 成 设备 放置 和 连接 后 
的 逻辑 工作 区 界面 如 图 10. 12 Bros 
Ta 


Logical [Root] New Cluster Move Object. 
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| | Toggle PDU List Window 














€ alic 加 
图 10.12 完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 


(2) PCO 选择 通过 DHCP 自动 获取 网 络 信息 的 方式 ,PC0 自动 获取 的 网 络 信息 如 
图 10. 13 所 示 ,Default Gateway( 上 默认 网 关 地 址 ) 是 192. 168.0. 1, 
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图 10.13 PCO 自动 获取 的 网 络 信息 


(3) 启动 PCO 浏览 器 ,在 地 址 栏 中 输入 192. 168. 0. 1 , 单 击 Go 按钮 ,弹出 如 图 10. 14 
所 示 的 登录 界面 ,在 Username( 用 户 名 ) 输 入 框 中 输入 admin, 在 Password( 口 令 ) 输 入 框 
中 输入 admin. Hd; OK 按钮 ,进入 如 图 10. 15 所 示 的 无 线路 由 器 配置 界面 。 

















URL [http://192. 168.0. 1 


f. Authorization 








User Name: [admin 








Password: @@eee 











[ OK ] Cancel 























图 10.14 无 线路 由 器 登录 界面 
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A 10.15 无 线路 由 器 配置 界面 


10.4 控制 网 络 设备 Telnet 远程 配置 过 程 实验 


10.4.1 实验 内 容 


本 实验 在 第 10. 2 节 网 络 设备 Telnet 配置 实验 的 基础 上 进行 。 如 图 10. 16 所 示 , 由 
于 用 Telnet 远程 配置 网 络 设备 是 一 件 风险 很 大 的 事情 ,因此 ,需要 严格 控制 允许 用 
Telnet 远程 配置 网 络 设备 的 终端 。 通 过 在 交换 机 SI 设置 访问 控制 ,只 允许 终端 B 
Telnet 远程 配置 交换 机 S1 ,不 允许 其 他 终端 用 Telnet 远程 配置 交换 机 S1. 















































RADIUS 服务 器 
192.12.1/4 
192.1.2254 
I 
r3 Sl 1951125404. R ——1921225404 2 
EH—e dw 
HOA 管理 地 址 管理 地 址 r1 
192.1.1.1/24 — 192.1.125324 192.12.2534 
192.1.1.254 默认 网 关 默认 网 关 
192.1.1.254 192.1.2.254 终端 B 
192.1.2.2/24 
192.1.2254 


10.16 互连网 结构 
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10.4.2 实验 目的 


(1) 验证 用 Telnet 远程 配置 网 络 设备 的 过 程 。 
(2) 验证 本 地 鉴别 机 制 。 
(3) 验证 对 用 Telnet 远程 配置 网 络 设备 的 过 程 实施 控制 的 方法 。 


1043 实验 原理 


通过 Telnet 远程 配置 网 络 设备 的 前 提 是 ,建立 远程 终端 与 网 络 设备 之 间 的 Telnet 会 
话 。 如 果 在 所 有 Telnet 会 话 中 设置 分 组 过 滤器 , 且 分 组 过 滤器 只 允许 源 IP 地 址 是 终端 B 
的 IP 地址 的 IP 分 组 进入 Telnet 会 话 , 则 只 有 终端 也 能 够 发 起 建立 与 该 网 络 设备 之 间 的 


Telnet 会 话 。 
10.4.4 关键 命令 说 明 


l. 配置 分 组 过 滤器 
命令 序列 如 下 : 


Switch(config)faccess-list 1 permit host 192.1.2.2 


Switch(config)faccess-list 1 deny any 


access-list 1 permit host 192. 1. 2. 2 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 在 编 
号 为 1 的 分 组 过 滤器 中 添加 一 条 规则 ,该 规则 只 允许 源 TP 地 址 为 192. 1. 2. 2 的 IP 分 组 
通过 。 编 号 为 1 一 99 的 分 组 过 滤器 是 标准 分 组 过 滤器 ,标准 分 组 过 滤器 只 能 限制 源 终端 
的 IP 地 址 。 编 号 为 100~199 的 分 组 过 滤器 是 扩展 分 组 过 滤器 ,扩展 分 组 过 滤器 不 仅 可 
以 限制 源 和 目的 终端 的 TP 地 址 ,还 可 以 限制 源 和 目的 端口 号 等 。 

access-list 1 deny any 是 全 局 模式 下 使 用 的 命令 ,该 命令 的 作用 是 在 编号 为 1 的 分 组 
过 滤器 中 添加 一 条 规则 ,该 规则 拒绝 全 部 IP 分 组 。 

2, 将 分 组 过 滤器 作用 到 所 有 Telnet 会 话 

命令 序列 如 下 : 


Switch(config)fline vty 0 4 
Switch(config-line)faccess-class 1 in 


Switch(config-line)fexit 


access-class 1 in 是 仿真 终端 配置 模式 下 使 用 的 命令 ,该 命令 的 作用 是 只 允许 编号 为 
1 的 分 组 过 滤器 允许 通过 的 IP 分 组 进入 编号 范围 为 0~4 的 Telnet 会 话 。 


1045 实验 步骤 


COD 在 第 10. 2 节 网 络 设备 Telnet 配置 实验 的 基础 上 增加 PC1, 增 加 PCI 后 的 逻辑 
工作 区 界面 如 图 10. 17 所 示 。 完 成 PC1 网 络 信息 配置 过 程 。 

(2) 在 CLI( 命 令 行 接口 ) 配 置 方 式 下 ,在 交换 机 Switch0 中 完成 与 限制 用 Telnet 远 
程 配置 Switch0 的 终端 有 关 的 配置 过 程 ,只 人 允许 PCI 用 Telnet 远程 配置 Switch0。 启 动 
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图 10.17 完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 
PCO Telnet 登录 Switch0 的 过 程 ,登录 失败 ,登录 失败 界面 如 图 10. 18 所 示 。 启 动 PCI 
Telnet 登录 Switch0 的 过 程 ,登录 成 功 的 界面 如 图 10. 19 所 示 


Physical | Config | Desktop | Software/Services 


| 


Command Prompt 








图 10.18 PCO Telnet 登录 Switch0 失败 的 界面 


10.46 命令 行 接口 配置 过 程 
1. 与 限制 用 Telnet 远程 配置 Switch0 的 终端 有 关 的 配置 过 程 
命令 序列 如 下 : 


Switch(config)faccess-list 1 permit host 192.1.2.2 


Physical | Config | Desktop | Software/Services 








图 10.19 PCI Telnet 登录 Switch0 成 功 的 界面 


Switch(config)#acces 


S-list 1 deny any 


Switch(config)fline vty 0 4 


Switch(config-line)faccess-class 1 in 


Switch (config-line)#exit 


2. 命令 列表 


Switch0 命令 行 接口 配置 过 程 中 使 用 的 命令 及 功能 和 参数 说 明 如 表 10. 2 所 示 。 


表 10.2 命令 列表 
功能 和 参数 说 明 





access-list access-L'ist-number 
(deny| permit) source [source 


wildcard] 


定义 一 条 属于 某 个 标准 分 组 过 滤器 的 规则 。 参 数 accesslist-number 
是 标准 分 组 过 滤器 的 编号 ,编号 范围 是 1~ 99。deny 和 permit 表示 
动作 ,其 中 deny 是 拒绝 , permit 是 允许 。 参数 source 和 source- 
wildcard 指定 源 IP 地 址 范围 ,其 中 参数 source 是 IP 地 址 ,参数 
sourcewildcard 是 反 掩 码 , 如 source 192. 1. 2. 2, sourcewildcard 一 0. 
0. 0. 1, 表 示 源 耳 地址 范围 是 192. 1. 2. 2 和 192. 1. 2. 3。 如 source 192. 
1.2. 2. source-wildcard 二 0.0.0.0, 表 示 源 IP 地 址 范围 是 唯一 的 IP 地 址 
192. 1.2.2。 这 种 情况 下 ,可 以 用 host 192. 1 代替 。 如 source 
0.0. 0. 0 source-wildcard —255 表示 源 卫 地 址 范围 是 
所 有 也 地 址 。 这 种 情况 下 ,可 以 用 any 代替 















access-class access-List-number 


(in| out} 





将 以 参数 access List-number 为 编号 的 分 组 过 滤器 作用 到 Telnet 会 话 
的 输入 或 输出 方向 ,in 是 输入 方向 ,out 是 输出 方向 





È: 粗 体 是 命令 关键 字 , 斜 体 是 命令 参数 。 
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计算 机 安全 实验 


对 于 计算 机 安全 ,可 以 做 到 以 下 两 点 : 一 是 可 以 通过 主机 防火 墙 控制 数据 输入 或 输 
出 主机 的 过 程 ,二 是 可 以 通过 网 络 监控 命令 监测 主机 访问 网 络 过 程 中 的 状态 和 主机 访问 
的 网 络 的 状态 。 





11.1 终端 和 服务 器 主机 防火 墙 实验 


11.1.1 实验 内 容 


终端 和 服务 器 带 有 主机 防火 墙 , 通 过 配置 某 台 服 务 器 或 终端 主机 防火 墙 的 入 规则 ,可 
以 有 效 控制 其 他 终端 和 服务 器 对 该 服务 器 或 终端 的 访问 过 程 。 

可 以 通过 制定 访问 控制 策略 限制 其 他 终端 和 服务 器 对 某 台 服务 器 或 终端 的 访问 过 
程 。 假 定 对 于 如 图 11. 1 所 示 的 互连网 制定 以 下 访问 控制 策略 。 











































终端 A 终端 C 
192.1.14/24 R 192.1224 
终端 B 终端 D 
192.1.1.5/24 192.12.3/4 
Web 服 务 器 1 Web 服 务 器 2 
192.1.1.6/24 192.1.2.4/24 
图 11.1 互连网 结构 


l. 终端 访问 控制 策略 

不 允许 不 属于 同一 网 络 的 终端 之 间 相互 进行 ping 操作 。 因 此 ,对 于 终端 A, 实现 访 
间 控 制 策 略 的 和 规则 如 表 11. 1 所 示 。 

规则 1 禁止 源 IP 地址 为 终端 C 或 终端 D 的 IP 地 址 , 且 净 荷 是 ICMP 报 文 的 人 P 分 组 
进入 终端 A。 

规则 2 允许 除 规则 1 禁止 的 IP 分 组 以 外 的 所 有 其 他 IP 分 组 进入 终端 A。 
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表 11.1 终端 A 的 入 规则 








序号 源 IP 地 址 协议 动作 
1 192.1.2.2 或 192.1.2.3 ICMP 丢弃 
2 any IP 允许 











2. Web 服务 器 访问 控制 策略 
对 于 和 Web 服务 器 不 属于 同一 网 络 的 终端 ,只 允许 这 些 终端 用 浏览 器 访问 Web 主 
页 。 因 此 ,对 于 Web 服务 器 1 ,实现 访 问 控制 策略 的 入 规 则 如 表 11. 2 所 示 。 
表 11.2 Web 服务 器 的 入 规则 
源 IP 地 址 i 动作 
192.1.2.2 或 192.1.2.3 a 允许 


192.1.1.4 或 192.1.1.5 允许 


规则 1 允许 源 IP 地 址 为 终端 C 或 终端 D 的 PP 地址, 且 净 荷 是 目的 端口 号 等 于 80 的 
TCP 报 文 的 IP 分 组 进入 Web 服务 器 1. 

规则 2 允许 源 IP 地 址 为 终端 A 或 终端 也 的 TP 地 址 的 IP 分 组 进入 Web 服务 器 1。 

规则 3 禁止 除 规则 1 和 规则 2 允许 的 IP 分 组 以 外 的 所 有 其 他 TP 分 组 进入 Web 服 
务 器 1 。 


1112 实验 目的 


(1) 验证 终端 和 服务 器 主机 防火 墙 的 配置 过 程 。 
(2) 验证 终端 和 服务 器 主机 防火 墙 实 现 访问 控制 策略 的 过 程 。 


1113 实验 原理 


配置 规则 的 关键 因素 是 指定 IP 地址 范围 ,一 般 通过 CIDR 地 址 块 或 网 络 地 址 指定 IP 
地 址 范围 ,如 CIDR 地 址 块 192. 1. 1. 0/28 指定 的 卫 地 址 范围 为 192. 1. 1. 0 一 192. 1.1. 15, 
但 作为 网 络 地 址 时 ,CIDR 地 址 块 192. 1. 1. 0/28 中 的 IP 地 址 192. 1. 1. 0 是 网 络 地 址 ， 
192. 1.1.15 是 直接 广播 地 址 ,这 两 个 IP 地 址 都 不 是 可 分 配 的 IP 地 址 。 因 为 存在 网 络 地 
址 和 直接 广播 地 址 , 子 网 掩 码 的 位 数 一 般 不 能 大 于 31 位 。 因 此 ,用 CIDR 地 址 块 或 网 络 
地 址 不 容易 直观 表示 唯一 的 IP 地 址 ,如 TP 地 址 192. 1. 1. 1 。 

deleniti re ene 
可 以 用 全 地 址 192. 1.1.0 和 反 掩 码 0. 0.0. 15 表示 。 在 反 掩 码 表示 方式 下 , 先 将 IP 地 址 
192. 1.1. 0 和 反 掩 码 0.0. 0. 15 进行 或 运算 ,得 到 运算 结果 192. 1. 1. 15。 给 定 某 个 卫 地 
TE IP 地址 与 反 掩 码 0.0.0.15 进行 或 运算 ,如 果 运 算 结 果 等 于 192. 1. 1.15, 则 表示 
该 全 地 址 属于 用 IP 地 址 192.1. 1. 0 和 反 掩 码 0. 0. 0. 15 表示 的 IP 地 址 范围 。 如 IP 地 
址 192.1.1.7 与 反 掩 码 0. 0. 0. 15 进行 或 运算 后 得 到 的 运算 结果 是 192. 1. 1. 15 ,因此 ,了 IP 
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地 址 192. 1. 1.7 属于 用 IP 地址 192. 1. 1.0 和 反 掩 码 0.0.0.15 表示 的 IP 地 址 范围 。 

引入 反 掩 码 后 ,可 以 用 IP 地 址 192. 1. 1. 1 和 反 掩 码 0. 0. 0. 0 唯一 指定 IP 地 址 
192.1.1.1, 也 可 以 用 IP 地址 192. 1. 2. 2 和 反 掩 码 0. 0.0. 1 指定 IP 地 址 192.1.2.2 和 
192.1.2.3, 同 样 ,可 以 用 IP 地址 192. 1. 1. 4 和 反 掩 码 0. 0.0.1 指定 IP 地 址 192. 1.1.4 
和 192. 1.1.5。 


1114 实验 步骤 


(1) 根据 如 图 11. 1 所 示 互 连 网 结构 放置 和 连接 设备 ,完成 设备 放置 和 连接 后 的 逻辑 
工作 区 界面 如 图 11. 2 所 示 。 完 成 路 由 器 接口 IP 地 址 和 子 网 掩 码 配置 过 程 。 完 成 各 个 终 
端 和 服务 器 的 网 络 信息 配置 过 程 。 保 证 终端 之 间 .终端 和 服务 器 之 间 的 连通 性 。 
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图 11.2 完成 设备 放置 和 连接 后 的 远 辑 工作 区 界面 


(2) PC0 完成 “Desktop( 桌 面 )”>“IPv4 Firewall(IPv4 防火 墙 )? 操 作 过 程 后 ,弹出 如 
图 11.3 所 示 的 Inbound Rules( 防 火 墙 人 规则 ) 配 置 界 面 。 配 置 "规则 1 禁止 源 IP 地 址 为 
PC2 或 PC3 的 IP 地 址 , 且 净 荷 是 ICMP 报 文 的 IP 分 组 进入 PC0” 对 应 的 入 规则 的 过 程 如 
F: 在 Action( 动 作 ) 输 入 框 中 选择 Deny( 拒 绝 ), 在 Protocol( 协 议 ) 输 入 框 中 选择 ICMP, 
Remote IPC f£ 3: Bl IP 地址) 输入 框 中 输入 192. 1.2. 2. fg Remote Wildcard Mask( 远 程 主 
机 反 掩 码 ) 输 入 框 中 输入 0.0.0.1,IP 地 址 192. 1. 2.2 和 反 掩 码 0.0.0. 1 指定 的 全 地 址 范围 
为 192.1.2.2 和 192.1.2.3。 单 击 Add( 添 加 ) 按 钮 ,完成 该 人 规则 配置 过 程 。 

配置 “规则 2 允许 除 规则 1 禁止 的 TP 分 组 以 外 的 所 有 其 他 IP 分 组 进入 PC0? 对 应 的 
人 规则 的 过 程 如 下 : 在 Action( 动 作 ) 输 入 框 中 选择 Allow( 人 允许 ) ,在 Protocol( 协 议 ) 输 入 
框 中 选择 了 了 ,在 远程 主机 IP 地 址 (Remote IP) 输 入 框 中 输入 0. 0. 0. 0, 在 Remote 
Wildcard Mask( 远 程 主机 反 掩 码 ) 输 入 框 中 输入 255. 255. 255. 255,IP 地 址 0. 0.0.0 和 反 
掩 码 255. 255. 255.255 指定 的 IP 地 址 范围 为 所 有 IP 地 址 。 单 击 Add( 添 加 ) 按 钮 ,完成 
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Action Protocol Remote IP smote Vild Car Remote Port. 
1 Deny IONP 192.1.2.2 0.0.0.1 














图 11.3 PC0 防火 墙 入 规则 配置 界面 


该 人 规则 配置 过 程 。 

完成 上 述 和 人 规则 配置 过 程 后 ,如 果 某 个 IP 分 组 匹配 入 规则 1 ,防火 墙 丢弃 该 IP 分 
组 。 由 于 入 规则 2 匹配 任意 IP 分 组 ,因此 ,没有 匹配 和 规则 1 的 TP. 分 组 都 和 入 规则 2 UG 
配 ,允许 进入 PC0。 

(3) Web Serverl sé “Desktop (H ffi)" — " IPv4 Firewall(IPv4 防火 墙 )” 操 作 过 程 
后 ,弹出 如 图 11.4 所 示 的 Inbound Rules( 防 火 墙 人 规则 ) 配 置 界 面 。 配 置 “ 规 则 1 允许 源 
IP 地 址 为 PC2 或 PC3 的 IP 地 址 , 且 净 荷 是 目的 端口 号 等 于 80 的 TCP 报 文 的 IP 分 组 进 
人 Web 服务 器 1? 对 应 的 人 规则 的 过 程 如 下 : 在 Action( 动 作 ) 输 入 框 中 选择 Allow Cft 
许 ) ,Protocol( 协 议 ) 输 入 框 中 选择 TCP, {E Remote IP( 远 程 主机 IP 地 址 ) 输 入 框 中 输入 
192.1. 2. 2. f£ Remote Wildcard Mask( 远 程 主机 反 掩 码 ) 输 入 框 中 输入 0.0.0.1,IP 地 址 
192.1. 2. 2 f HERE 0.0.0. 1 指定 的 IP 地 址 范围 为 192.1. 2.2 和 192.1. 2.3。 在 远程 主 
机 端口 号 (Remote Port) 输 入 框 中 输入 any ,表示 任意 端口 号 。 在 Local Port( 本 地 主机 端 
口号 ) 输 入 框 中 输入 80,80 是 HTTP 协议 对 应 的 著名 端口 号 。 

配置 “规则 2 允许 源 IP 地 址 为 PCO 或 PC1 的 IP 地 址 的 IP 分 组 进入 Web 服务 器 1” 
对 应 的 入 规则 的 过 程 如 下 : 在 Action( 动 作 ) 输 入 框 中 选择 Allow( 人 允许 ) ,在 Protocol( 协 
议 ) 输 入 框 中 选择 IP, Æ Remote IP OEE EHL IP 地 址 ) 输 入 框 中 输入 192. 1. 1. 4 ,在 
Remote Wildcard Mask( 远 程 主机 反 掩 码 ) 输 入 框 中 输入 0.0. 0.1,IP 地 址 192. 1.1. 4 和 
反 掩 码 0.0.0. 1 指定 的 IP 地 址 范围 为 192.1.1.4 和 192.1.1.5。 

配置 “规则 3 禁止 除 规则 1 和 规则 2 允许 的 IP 分 组 以 外 的 所 有 其 他 IP. 分 组 进入 
Web 服务 器 1" 对 应 的 人 规则 如 下 : 在 Action( 动 作 ) 输 入 框 中 选择 Deny (拒绝 ), 在 
Protocol( 协 议 ) 输 入 框 中 选择 IP, fe Remote IP( 远 程 主机 IP 地 址 ) 输 入 框 中 输入 0. 0. 0.0， 
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图 11.4 Web Serveri 防火 墙 入 规则 配置 界面 


在 Remote Wildcard Mask( 远 程 主机 反 掩 码 ) 输 入 框 中 输入 255. 255. 255. 255,IP 地 址 
0. 0. 0.0 fts MET 255.255. 255. 255 指定 的 IP 地 址 范围 为 所 有 IP 地 址 。 

完成 上 述 入 规则 配置 过 程 后 , IP 分 组 中 只 有 与 人 规则 1 或 人 规则 2 匹配 的 IP 分 组 
进入 Web 服务 器 1 ,其 他 所 有 IP 分 组 都 被 丢弃 。 

(4) 在 PC2 IPv4 防火 墙 人 规则 配置 界面 如 图 11. 5 所 示 。Web Server2 IPv4 jj dit 


和 人 规则 配置 界面 如 图 11.6 所 示 。 
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图 11.5 PC2 
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Æ 11.6 Web Server2 防火 墙 入 规则 配置 界面 


11.2. 网 络 监控 命令 测试 环境 实验 


11.2.1 实验 内 容 


为 了 完成 网 络 监 控 命 令 测 试 实验 ,需要 构建 一 个 便于 终端 测试 网 络 监控 命令 的 网 络 

环境 ,该 网 络 环境 中 存在 包含 若干 路 由 器 的 IP 传输 路 径 , 存 在 以 太 网 .DNS 服务 器 以 及 
Web 服务 器 等 。 
构建 如 图 11. 7(a) 所 示 的 互连网 ,根据 图 11.7(b) 所 示 完 成 域名 服务 器 中 的 资源 记录 
配置 过 程 ,允许 终端 A 和 终端 B 用 域名 访问 Web 服务 器 1 至 Web 服务 器 3. 
图 11.7 所 示 是 一 个 简单 的 域名 系统 ,该 域名 系统 包含 两 个 一 级 域名 com 和 edu, 
com 域 包 含 两 个 子 域 a. com 和 b. com. edu 域 包 含 一 个 子 域 b. edu, 每 一 个 子 域 设 置 Web 
服务 器 ,分 别 用 完全 合格 的 域名 www. a. com, www. b. com 和 www. b. edu 标识 这 三 台 
Web 服务 器 。 终 端 A 选择 负责 a. com 域 的 域名 服务 器 作为 本 地 域名 服务 器 ,终端 B 选 
择 负责 b. edu 域 的 域名 服务 器 作为 本 地 域名 服务 器 ,域名 系统 实现 将 完全 合格 的 域名 
www. a. com, www. b. com 和 www. b. edu 转换 成 三 台 Web 服务 器 对 应 的 IP 地 址 192. 
1. 1. 2,192. 1. 2. 3 # 192. 1. 5. 2 的 过 程 。 


1122 实验 目的 


(1) 建立 包含 若干 路 由 器 的 IP 传输 路 径 。 
(2) 建立 域名 系统 ,可 以 用 域名 访问 Web 服务 器 。 
(3) 建立 地 址 解析 协议 (Address Resolution Protocol,ARP) 的 工作 环境 。 
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(4) 构建 一 个 便于 终端 测试 网 络 监控 命令 的 网 络 环境 。 
11.2.3 实验 原理 


通过 RIP 建立 终端 A 与 终端 B 之 间 的 IP 传输 路 径 。 

域名 服务 器 中 的 资源 记录 能 够 将 任何 有 效 的 完全 合格 的 域名 的 解析 过 程 导向 配置 名 
字 为 该 完全 合格 的 域名 、 类 型 为 A 的 资源 记录 的 域名 服务 器 。 假 定 完 全 合格 的 域名 为 
www. a. edu, 从 任何 一 台 域 名 服务 器 开始 ,域名 服务 器 中 的 资源 记录 都 能 够 将 域名 解析 
过 程 导向 b. edu 域 域名 服务 器 。 如 从 a. com 域 域名 服务 器 开始 的 导向 过 程 如 下 : a. com 
域 域名 服务 器 中 的 资源 记录 过 edu, NS. dns. root fll dns. root, A,192. 1. 3. 7^ IU, 
解析 过 程 导向 根 域名 服务 器 ; 根 域名 服务 器 中 的 资源 记录 过 edu, NS, dns. edu fl — dns. 
edu,A,192.1.4.7 志 将 域名 解析 过 程 导 向 edu 域 域名 服务 器 ;edu 域 域名 服务 器 中 的 资源 
记录 <<b. edu, NS, dns. b. edu ffl dns. b. edu. A,192. 1. 5.7 志 将 域名 解析 过 程 导 向 b. edu 
域 域名 服务 器 ;b. edu 域 域名 服务 器 中 存在 资源 记录 <<www. b. edu, A,192. 1. 5. 2>, 

终端 A 和 终端 B 所 在 的 以 太 网 提供 ARP 工作 环境 。 如 终端 A 可 以 解析 出 与 其 连 
接 在 同一 以 太 网 的 Web 服务 器 ,域名 服务 器 和 路 由 器 R1 连接 该 以 太 网 的 接口 的 MAC 
地 址 。 


1124 实验 步骤 


(1) 根据 如 图 11. 7(a) 所 示 的 互连网 结构 放置 和 连接 设备 ,完成 设备 放置 和 连接 后 的 
逻辑 工作 区 界面 如 图 11.8 所 示 。 
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图 11.8 完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 
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(2) 完成 所 有 路 由 器 各 个 接口 的 TP. 地址 和 子 网 掩 码 配 置 过 程 ,从 左 到 右 四 台 路 由 器 
互 连 的 五 个 以 太 网 的 网 络 地 址 分 别 是 192. 1. 1. 0/24、192. 1. 2. 0/24、192. 1. 3. 0/24、 
192. 1. 4. 0/24 和 192.1.5.0/24, 完 成 各 台 路 由 器 RIP 配置 过 程 。 完 成 上 述 配置 过 程 后 ， 
路 由 器 Routerl 至 Router4 的 路 由 表 分 别 如 图 11. 9 至 图 11.12 所 示 。 


Jetwork 


192. 1. 1.0/24 
192. 1. 2.0/24 
192. 1.3. 0/24 
192. 1. 4.0/24 


192. 1.5.0/24 


Port 
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FastEthernet0/1 
FastEthernet0/1 
FastEthernet0/1 
FastEthernet0/1 


192. 1.2.253 
192. 1.2.253 
192. 1.2. 253 





Network. 
192. 1.1,0/24 
182.1.2.0/24 
182.1.3.0/24 
192.1. 4.0/24 
192. 1.5,0/24 


Port 
FastEthernet0/0 
FastEthernet0/0 
FastEthernet0/1 
FastEthernet0/1 
FastEthernet0/1 





Next Hop IP 
192. 1.2. 254 
192. 1.3.253 
192. 1.3.253 





图 11.10 路 由 器 Router2 路 由 表 


182.1.1.0/24 
182.1.2.0/24 
182.1.3.0/24 
182.1.4.0/24 
182.1.5.0/24 


Port 
FastEthernet0/0 
FastEthernet0/0 
FastEthernet0/0 
FastEthernet0/1 
FastEthernet0/1 


Next Hop IP 
192.1.3.254 
192.1.3.254 
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Routing Table for Router4 


Network. 
192. 1. 1.0/24 
182.1.2.0/24 
182. 1.3.0/24 
182.1.4.0/24 
182.1.5.0/24 








图 11.12 路 由 器 Router4 路 由 表 


(3) 根据 如 图 11. 7(a) 所 示 的 各 个 终端 和 服务 器 的 网 络 信息 完成 这 些 终端 和 服务 器 
的 网 络 信息 配置 过 程 ,终端 配置 的 网 络 信息 包括 IP 地 址 、 子 网 掩 码 、 默 认 网 关 地 址 和 本 地 
域名 服务 器 地 址 ,如 图 11.13 所 示 是 PCO 配置 的 网 络 信息 ,其 中 DNS Server( 本 地 域名 服 
务 器 地 址 ) 是 a. com 域 域名 服务 器 的 TP 地 址 。 
(4) 完成 各 台 域 名 服务 器 的 配置 过 程 。 单 击 域名 服务 器 dns. a. com, 完 成 “Services 
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11.13 PCO 网 络 信息 配置 界面 


(服务 ) ”~>“DNS( 域 名 服务 系统 ) ?操作 过 程 ,弹出 如 图 11. 14 所 示 的 DNSC 














域名 服务 系 


统 ) 配 置 界 面 ,在 DNS Service( DNS 服务 ) 这 一 栏 中 选择 On, 在 资源 记录 输入 界面 中 依次 
输入 各 个 资源 记录 。 资 源 记 录 二 edu,NS,dns. root ti A ERRAT : 在 Name( 名 字 ) 输 入 
框 中 输入 edu, 在 Type( 类 型 ) 输 入 框 中 选择 NS record, 在 Server Name( 服 务 器 名 ) 输 入 
框 中 输入 dns. root, 单 击 Add( 添 加 ) 按 钮 。 资 源 记录 过 dns. root, A,192. 1.3. 7 之 输入 过 
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11.14 域名 服务 器 dns. a. com 的 DNS 配置 界面 
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程 如 下 : 在 Name( 名 字 ) 输 入 框 中 输入 dns. root. TE Type (类 型 ) 输 入 框 中 选择 A record. TE 
Address( 地 址 ) 输 入 框 中 输入 TP 地 址 192. 1. 3. 7, 单 击 Add( 添 加 ) 按 钮 。 根 据 如 图 11.7(b) 
所 示 的 各 台 域 名 服务 器 的 资源 记录 配置 ,完成 各 台 域 名 服务 器 的 资源 记录 输入 过 程 。 完 成 
资源 记录 输入 过 程 后 的 各 台 域 名 服务 器 的 DNS 配置 界面 分 别 如 图 11. 14 一 图 11. 19 所 示 。 
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图 11.16 域名 服务 器 dns. com 的 DNS 配置 界面 
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11.18 域名 服务 器 dns. edu 的 DNS 配置 界面 
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图 11.19 域名 服务 器 dns.b.edu 的 DNS 配置 界面 


(5) 启动 PCO 的 浏览 器 ,在 地 址 栏 中 输入 完全 合格 的 域名 www. b. edu, 弹 出 完全 合 
格 的 域名 为 www. b. edu 的 Web 服务 器 的 主页 ,如 图 11. 20 所 示 。 启 动 PCL 的 浏览 器 ， 
在 地 址 栏 中 输入 完全 合格 的 域名 www. a. com, 弹出 完全 合格 的 域名 为 www. a. com 的 
Web 服务 器 的 主页 ,如 图 11. 21 Bro 
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图 11.20 PC0 访问 完全 合格 的 域名 为 www. b. edu 的 Web 服务 器 的 界面 
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图 11.21 PCI 访问 完全 合格 的 域名 为 www. a. com 的 Web 服务 器 的 界面 


(6) 本 地 域名 服务 器 dns. a. com 完成 域名 解析 过 程 后 ,在 DNS 缓冲 器 中 记录 下 解析 
出 的 域名 和 值 之 间 的 关联 。 在 如 图 11. 14 所 示 的 域名 服务 器 dns. a. com 的 DNS 配置 界 
面 中 , 单 击 左下 角 的 DNS Cache(DNS 缓冲 器 ) 按 钮 ,弹出 如 图 11. 22 所 示 的 DNS 缓冲 器 
界面 ,DNS 缓冲 器 中 记录 下 已 经 完成 的 域名 解析 过 程 中 解析 出 的 域名 和 值 之 间 的 关联 。 


DNS Cache 





(1) Nane:edu Time Stanp: 星 期 四 十 二 月 28 23:07:13 2016 


server: dns edu 


+O) Naneiwev.b.edu Tine Stanp: 星 期 四 十 二 月 29 23:07:13 2018 


Type: A IP 192.1.5.2 














11.22 DNS 缓冲 器 记录 下 的 域名 与 值 之 间 的 关联 


1125 命令 行 接口 配置 过 程 


1，Routerl 命令 行 接口 配置 过 程 
命令 序列 如 下 : 
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Router»enable 

Router# configure terminal 

Router (config)finterface FastEthernet0/0 

Router (config-if)f$no shutdown 

Router (config-if)fip address 192.1.1.254 255.255.255.0 
Router(config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)fno shutdown 

Router (config-if)fip address 192.1.2.254 255.255.255.0 
Router (config-if)fexit 

Router (config)frouter rip 

Router (config-router)f$network 192.1.1.0 

Router (config-router)f$network 192.1.2.0 


Router (config-router)fexit 


2, Router2 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router>enable 

Router#configure terminal 

Router (config)#interface FastEthernet0/0 

Router (config-if)#no shutdown 

Router (config-if)#ip address 192.1.2.253 255.255.255.0 
Router (config-if)#exit 

Router (config)#interface FastEthernet0/1 

Router (config-if)#no shutdown 

Router (config-if)#ip address 192.1.3.254 255.255.255.0 
Router (config-if)#exit 

Router (config)#router rip 

Router (config-router)#network 192.1.2.0 

Router (config-router)#network 192.1.3.0 


Router (config-router)#exit 


其 他 路 由 器 的 命令 行 接口 配置 过 程 与 Routerl 和 Router2 的 命令 行 接口 配置 过 程 相 
似 ,不 再 袭 述 。 





11.3 网 络 监 控 命令 测试 实验 


11.3.1 实验 内 容 


基于 第 11. 2 节 的 网 络 环境 ,完成 命令 ping \tracert ,ipconfig .arp 和 nslookup 的 测试 
过 程 。 
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11.3.2 实验 目的 





络 监控 命令 的 功能 。 
(2) 查看 实际 网 络 环境 下 各 种 命令 的 执行 结果 。 
(3) 掌握 网 络 监控 命令 在 网 络 管理 和 控制 方面 的 应 用 。 











11.33 ping 命令 测试 实验 


ping 命令 执行 过 程 如 图 11. 23 所 示 ,如 果 用 域名 表示 目标 主机 , 则 首先 解析 出 目标 
主机 的 IP 地 址 ,然后 向 目标 主机 发 送 ICMP ECHO 请 求 报 文 。 目 标 主机 接收 到 PCO 发 
送 的 ICMP ECHO 请 求 报 文 后 ,向 PCO 发 送 ICMP ECHO 响应 报 文 ,ICMP ECHO 请 求 
报 文 和 对 应 的 ICMP ECHO 响应 报 文 有 着 相同 的 序号 和 标识 符 。PC0 从 发 送 ICMP 
ECHO 请 求 报 文 ,到 接收 到 ICMP ECHO 响应 报 文 的 过 程 为 一 次 往返 ,默认 情况 下 ,PC0 
执行 ping 命令 后 ,重复 四 次 往返 ,如 图 11.23 所 示 。 发 送 端 设置 的 TTL 字段 值 是 128, 如 
果 接 收 端 接收 到 的 TP 分 组 的 TTL 字段 值 是 124, 如 图 11. 23 所 示 , 则 表示 发 送 端 至 接收 
输 路 径 经 过 四 跳 路 由 器 








[Physical | Comfig.| Desktop | Software/Services 
-T= p 
Command Prompt 

















图 11.23 ping 命令 执行 过 程 


11.3.4 tracert 命令 测试 实验 

tracert 命令 执行 过 程 如 图 11. 24 所 示 ,给 出 PCO 至 域名 为 www. b. edu 的 Web 服务 
器 传输 路 径 经 过 的 各 跳 路 由 器 的 TP 地 址 ,对 于 图 11. 8 中 的 Routerl ,给 出 的 IP 地 址 是 连 
接 Switch0 的 接口 的 IP 地 址 ;对 于 Router2 ,给 出 的 IP 地址 是 连接 Switchl 的 接口 的 IP 





T 
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地 址 ;对 于 Router3 ,给 出 的 IP 地 址 是 连接 Switch2 的 接口 的 IP 地 址 ;对 于 Router4 ,给 出 
的 IP 地 址 是 连接 Switch3 的 接口 的 卫 地 址 。 











[.Physical.|.Config.| Desktop |.Software/Services- | 





Command Prompt 











图 11.24. tracert 命令 执行 过 程 


11.3.5 ipconfig 命令 测试 实验 


ipconfig 命令 执行 过 程 如 图 11. 25 所 示 , 给 出 PCO 配置 的 网 络 信息 ,其 中 PCO 的 
Physical Address(MAC 地 址 ) 是 0010. 11AC. E32D,IP AddressCIP 地 址 ) 是 192. 1. 1. 1, 
Subnet Mask ( 子 网 掩 码 ) 是 255. 255. 255. 0, Default i as: (默认 网 关 地 址 ) 是 
192. 1. 1. 254,DNS Server( 域 名 服务 器 地 址 ) 是 192. 1.1.: 


11.3.6 arp 命令 测试 实验 


当 PCO 完成 对 同一 以 太 网 内 和 其 他 网 络 中 的 服务 器 的 访问 过 程 后 ,PC0 的 ARP 组 
"m Pa zio FB ECKISpI A A HRS Ahy IP 地 址 和 PCO 的 默认 网 关 地 址 ,以 及 
OR IP 地 址 对 应 的 MAC 地 址 。 可 以 通过 命令 arp - a 显示 ARP 缓冲 器 中 的 信息 ,如 图 
1.26 所 示 ; 也 可 以 通过 命令 arp - d 删除 ARP 缓冲 器 中 的 信息 。 如 图 11. 26 所 示 , 执 
行 命令 arp - d 后 ,再 执行 命令 arp - a, 给 出 的 信息 是 ARP 缓冲 器 为 空 。 


1.8.7 nslookup 命令 测试 实验 


nslookup 命令 用 于 完成 某 个 域名 的 解析 过 程 , 如 果 没 有 指定 域名 服务 器 , 则 从 PCO 
配置 的 本 地 域名 服务 器 开始 解析 域名 的 过 程 ;如 果 指 定 域名 服务 器 , 则 从 指定 域名 服务 器 
始 解 析 域 名 的 过 程 。 如 图 11. 27 所 示 , 第 一 条 nslookup 命令 中 没有 指定 域名 服务 器 ， 
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[physical | Config | Desktop | Software/Services 








Command Prompt 








11.25 ipconfig 命令 执行 过 程 














图 11.26 arp 命令 执行 过 程 


因此 ,从 PC0 配置 的 本 地 域名 服务 器 开始 解析 域名 www. b. edu 的 过 程 ;第 二 条 nslookup 
命令 中 通过 IP 地 址 192. 1.1. 7 指定 域名 服务 器 dns. b. com, 因 此 ,从 域名 服务 器 dns. b. 
com 开始 解析 域名 www. b. edu 的 过 程 。 


第 11 章 计算 机 安全 实验 





|-Physical.| Canfig.| Desktop | Software/Services. 











图 11.27 nslookup 命令 执行 过 程 
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网 络 安全 综合 应 用 实验 


有 些 企业 除了 需要 访问 Internet 以 外 ,还 需要 访问 行业 专用 网 ,对 于 这 种 企业 ,存在 
使 用 相同 的 私有 IP 地 址 随时 访问 Internet 和 行业 专业 网 的 需求 。 对 于 需要 提供 信息 服 
务 的 企业 ,存在 允许 远程 用 户 通过 VPN 接 入 企业 网 ,并 对 企业 网 中 的 信息 资源 进行 访问 
的 需求 。 本 童 的 两 个 综合 应 用 实验 给 出 满足 这 些 需 求 的 企业 网 的 设计 和 配置 过 程 。 


12.1 NAT 应 用 实验 


12.1.1 系统 需求 


假定 某 个 企业 网 由 两 个 内 部 网 络 组 成 : 一 个 内 部 网 络 连接 管理 员 终端 , 另 一 个 内 部 
网 络 连接 员工 终端 。 企业 网 同时 连接 两 个 外 部 网 络 : 一 个 是 Internet, 另 一 个 是 行业 服务 
网 。Internet 和 行业 服务 网 都 对 该 企业 网 分 配 了 全 球 IP 地 址 ,但 无 论 是 Internet 还 是 行 
业 服 务 网 都 只 负责 到 达 分 配给 该 企业 网 的 全 球 IP 地 址 的 路 由 功能 。 

允许 所 有 人 员 访 问 Internet, 但 只 允许 管理 员 访 问 行业 服务 网 ,要 求 完成 企业 网 的 设 
计 和 配置 过 程 。 


12.1.2 分 配 的 信息 


Internet 分 配给 企业 网 的 网 络 信息 如 下 : IP 地 址 为 192. 1. 1. 1, 子 网 掩 码 为 
255. 255.255. 0, 默 认 网 关 地址 为 192. 1. 1. 2, 域 名 服务 器 地 址 为 192. 1.2. 253。 

行业 服务 网 分 配给 企业 网 的 网 络 信息 如 下 : IP 地 址 为 200. 1. 1. 1, 子 网 掩 码 为 
255. 255. 255. 0, 默 认 网 关 地 址 为 200. 1. 1. 2 ,域名 服务 器 地 址 为 200. 1. 2. 253 ,行业 服务 
网 的 域名 是 b. com。 

Internet 的 全 球 IP 地 址 范围 是 任意 的 ,行业 服务 器 网 的 全 球 IP 地 址 范围 是 
200. 1.2.0/24, 


124.3. 网络 设计 


1. 拓扑 结构 

网 络 结构 如 图 12. 1 所 示 , 路 由 器 R1 是 企业 网 的 核心 路 由 器 ,接口 1 和 接口 2 分 别 连 
接 内 部 网 络 1 和 内 部 网 络 2, 接 口 3 和 接口 4 分 别 连接 边缘 路 由 器 R2 和 R3。 边 缘 路 由 
器 R2 用 于 实现 企业 网 和 Internet 互 连 ,连接 Internet 的 接口 配置 Internet 分 配给 企业 网 
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的 全 球 IP 地 址 192. 1. 1.1。 边 缘 路 由 器 R3 用 于 实现 企业 网 和 行业 服务 网 互 连 ,连接 行 
业 服 务 网 的 接口 配置 行业 服务 网 分 配给 企业 网 的 全 球 IP 地 址 200. 1.1.1。 


本 地 域名 服务 器 











名 字 “类 型 值 
b.com NS dns.b.com 目的 网 络 输出 接口 下 一 跳 
= 192.168.1.0/24 1 192/168.3.1 
本 地 域名 服务 器 四 . 1921682024 1 192/168. 
132.168.1253 192.168.3.0/24 1 
0.0.0.0/0 2 
dns.com 


192.1.2.253 
192.168.1.0/24 


192.168.2.0/24 


dns.b.com 
200.1.2.253 


目的 网 络 输出 接口 下 一 跳 目的 网 络 输出 接口 下 一 跳 
192.168.1.0/24 1 直 : 192.168.1.0/24 1 — 192/1684.1 
192.168.[2.024 2 192.168.2.0/24 192/168.4.1 
192.168.3.024 4 192.168.4.0/24 
192.168.4.0/24 3 

3 
4 


1 
1 
2 


200.1.2.0/24 
0.0.0.0/0. 


192.168.4.2 
192.168.3.2 


图 12.1 网 络 拓扑 结构 


2. 路 由 表 

如 图 12.1 rz ,路 由 器 RI 的 路 由 表 中 存在 以 下 三 类 路 由 项 : 第 一 类 是 直 连 路 由 项 ， 
用 于 指明 通 往 直接 连接 的 企业 网 中 各 个 子 网 的 传输 路 径 ; 第 二 类 是 静态 路 由 项 ,用 于 指明 
通 往 行业 服务 网 的 传输 路 径 ,能 够 给 出 用 于 指明 通 往 行业 服务 网 的 传输 路 径 的 静态 路 由 
项 的 前 提 是 行业 服务 网 的 网 络 地 址 是 确定 的 ,为 200. 1. 2. 0/24; 第 三 类 是 默认 路 由 项 ,用 
于 指明 通 往 Internet 的 传输 路 径 。 所 有 目的 IP 地 址 没有 与 路 由 表 中 其 他 路 由 项 匹配 的 
IP 分 组 ,根据 默认 路 由 项 转发 。 

路 由 器 R2 和 R3 路 由 表 中 存在 两 类 路 由 项 : 一 类 是 用 于 指明 通 往 企 业 网 中 各 个 子 
网 的 传输 路 径 的 路 由 项 ; 另 一 类 是 用 于 指明 通 往 Internet( 路 由 器 R2) 或 行业 服务 网 (路 
由 器 R3) 的 传输 路 径 的 默认 路 由 项 。 默 认 路 由 项 的 下 一 跳 IP 地 址 是 Internet 或 行业 服 
务 网 分 配给 企业 网 的 默认 网 关 地 址 。 

3. DNS 

企业 网 中 的 域名 服务 器 能 够 判断 某 个 需要 解析 的 完全 合格 的 域名 是 Internet 中 服务 
器 的 域名 ,还 是 行业 服务 网 中 服务 器 的 域名 ,分 别 将 属于 Internet 的 域名 发 送 给 Internet 
中 的 域名 服务 器 ,将 属于 行业 服务 网 的 域名 发 送 给 行业 服务 网 中 的 域名 服务 器 ,这 里 假定 
行业 服务 网 的 域名 后 绥 是 固定 的 ,为 b. com。 因 此 ,将 所 有 域名 后 级 为 b. com 的 域名 发 
送 给 行业 服务 网 中 的 域名 服务 器 ,将 所 有 其 他 域名 发 送 给 Internet 中 的 域名 服务 器 。 企 
业 网 中 的 域名 服务 器 的 资源 记录 如 图 12. 1 所 示 。 
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4. PAT 

企业 网 中 的 终端 访问 Internet 或 行业 服务 网 时 ,需要 使 用 Internet 或 行业 服务 网 分 
配给 企业 网 的 全 球 IP 地 址 。 由 于 允许 内 部 网 络 1 和 内 部 网 络 2 中 的 终端 访问 Internet. 
因此 ,路 由 器 R2 需要 进行 PAT 的 源 IP 地 址 范围 包括 192. 168. 1. 0/24 和 192. 168. 2. 0/ 
24。 由 于 只 允许 内 部 网 络 1 中 的 终端 访问 行业 服务 网 ,因此 ,路 由 器 R3 需要 进行 PAT 
的 源 IP 地 址 范围 只 包括 192. 168. 1. 0/24。 

5. 访问 控制 

企业 网 中 的 终端 可 以 通过 路 由 器 R1 自动 获取 网 络 信息 ,为 了 防御 DHCP 欺骗 攻击 ， 
禁止 企业 网 连接 其 他 DHCP 服务 器 ,因此 ,需要 启动 企业 网 中 相关 交换 机 的 防 DHCP 坎 
骗 功能 。 

为 了 防止 内 部 网 络 2 中 的 终端 访问 行业 服务 网 ,需要 在 路 由 器 R1 接口 2 的 输入 方 
向 设置 分 组 过 滤器 ,过 滤 掉 内 部 网 络 2 中 终端 发 送 的 、 目 的 地 是 行业 服务 网 的 IP 分 组 。 
分 组 过 滤器 的 过 滤 规 则 如 下 。 

(D 协议 类 型 = x , 源 IP 地址 =192. 168.2.0/24, 目 的 全 地 址 =200.1.2.0/24; 丢 弃 。 

© 协议 类 型 = * , 源 IP 地 址 ==any, 目 的 IP 地 址 =any; 正 常 转发 。 


1214 实验 步骤 

QD 根据 如 图 12. 1 所 示 的 网 络 结构 放置 和 连接 设备 ,用 路 由 器 Router4 直 连 的 以 太 
网 表示 Internet, 用 路 由 器 Router5 直 连 的 以 太 网 表示 行业 服务 网 。 通 过 访问 完全 合格 
的 域名 为 www. a. com 的 Web 服务 器 模拟 Internet 访问 过 程 , 通 过 访问 完全 合格 的 域名 
为 www. b. com 的 Web 服务 器 模拟 行业 服务 网 访问 过 程 。 逻 辑 工作 区 最 终生 成 的 网 络 
结构 如 图 12.2 所 示 。 
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(2) 完成 所 有 路 由 器 各 个 接口 的 IP 地 址 和 子 网 掩 码 配 置 过 程 ,完成 路 由 器 Routerl、 
Router2 和 Router3 静态 路 由 项 和 默认 路 由 项 的 配置 过 程 。 完 成 上 述 配置 过 程 后 ,各 台 
路 由 器 的 路 由 表 分 别 如 图 12. 3 一 图 12. 7 所 示 。 值 得 指出 的 是 ,路 由 器 Router4 和 
Router5 的 路 由 表 中 ,只 有 用 于 指明 通 往 分 配给 企业 网 的 全 球 IP 地 址 的 传输 路 径 的 路 由 
项 ,没有 用 于 指明 通 往 企业 网 中 各 个 子 网 的 传输 路 径 的 路 由 项 ,企业 网 对 于 路 由 器 
Router4 和 Router5 是 不 可 见 的 。 




















Network Next Hop IP 


0.0.0.0/0 = 192.169.3.2 

182. 168. 1.0/24 FastEthernet0/0 = 

192. 168.2. 0/24 FastEthernet0/1 = 

192. 168. 3. 0/24 FastEthernet1/0 

192. 168. 4. 0/24 FastEthernetl/1 c 

200.1.2.0/24 一 192.168.4.2 
加 





图 12.3 路 由 器 Routerl 路 由 表 


Network Port Next Hop IP Metric 
0.0.0.0/0 =e 192.1.1.2 
192. 1. 1.0/24 FastEthernet0/1 = 
192. 168. 1.0/24 FastEthernet0/0 192.168.3.1 
182. 168. 2, 0/24 FastEthernet0/O 192.168.3.1 
192. 168.3. 0/24 FastEthernet0/0 一 


192. 168. 4.0/24 FastEthernet0/O 192.168.3.1 
Hm 





图 12.4 路 由 器 Router2 路 由 表 


Network Next Hop IP 
0.0.0.0/0 — 200.1.1.2 
192. 168. 1. 0/24 FastEthernet0/0 192.168.4.1 
192. 168. 2. 0/24 FastEthernet0/0 192.168.4.1 
182. 168. 3.0/24 FastEthernet0/O 192.168.4.1 
182. 168. 4. 0/24 FastEthernet0/0 
200. 1. 1. 0/24 FastEthernet0/1 


" 





图 12.5 路 由 器 Router3 路 由 表 


Network Port Next Hop IP 
192. 1. 1.0/24 FastEthernet0/0 


192. 1.2. 0/24 FastEthernet0/1 
m 








图 12.6 路 由 器 Routers 路 由 表 


Network Port Next Hop IP 


200. 1. 1.0/24 FastEthernet0/0 


200. 1.2. 0/24 FastEthernet0/1 
" 








12.7 路 由 器 Routers 路 由 表 
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(3) 企业 网 中 的 各 个 终端 通过 DHCP 自动 获取 网 络 信息 ,由 路 由 器 Routerl 提供 
DHCP 服务 器 的 功能 。PC0 获取 的 网 络 信息 如 图 12. 8 所 示 ,PC2 获取 的 网 络 信息 如 图 12. 9 
所 示 。PC0 和 PC2 的 域名 服务 器 地 址 都 是 企业 网 中 的 域名 服务 器 DNS Server 的 全 地 址 。 








Physical.|.Confg.] Desktop |.Software/Services.| 
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IP Configuration 

®© DHCP © Static 

1P Address 192.168.1.1 

Subnet Mask 255.255.255.0 E 
Default Gateway 192.168.1.254 

DNS Server 192.168.1.253 | 
IPv6 Configuration 

© DHCP © Auto Config &) Static 

IPv6 Address / A 

Link Local Address FE80::290:21FF:FE93:5CAA 

IPv6 Gateway 

IPv6 DNS Server 

: '" 

















图 12.8 PC0 自动 获取 的 网 络 信息 
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IP Configuration 
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IP Address 192.168.2.1 








Subnet Mask 255.255.255.0 








Default Gateway 192.168.2.254 








DNS Server 192.168.1.253 





IPv6 Configuration 
© DHCP © Auto Config @ Static 
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Link Local Address FE80::20C:CFFF:FE20:EBDD 








IPv6 Gateway 








IPv6 DNS Server 


























图 12.9 PC2 自动 获取 的 网 络 信息 


(4) DNS Server 配置 的 资源 记录 如 图 12. 10 所 示 ,将 解析 后 缀 为 b. com 的 完全 合格 
的 域名 的 解析 请 求 转发 给 行业 服务 网 中 的 域名 服务 器 dns. b. com ,将 解析 其 他 完全 合格 
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的 域名 的 解析 请 求 转发 给 Internet 中 的 域名 服务 器 dns. com。 域 名 服务 器 dns. b. com 配 
置 的 资源 记录 如 图 12. 11 所 示 ,用 于 完成 完全 合格 的 域名 www. b. com 的 解析 过 程 。 域 
名 服务 器 dns. com 配置 的 资源 记录 如 图 12. 12 所 示 , 用 于 完成 完全 合格 的 域名 www. a. 
com 的 解析 过 程 。 

















Physical | Config | Services | Desktop | Software/Services | 







































































DNS 

DNS Service @on © off 
Resource Records 
Name Type |A Record v 
Address 

Ho. Nane Type Detail 
0 bem L3 dns. b. con 

1 con E dns. com 
2  dnsb con A Record 200. 1. 2.253 
3 dnsco A Record 192. 1.2.253 
4 edu Lj dns. con 
DNS Cache. 




















图 12.10 DNS Server 配置 的 资源 记录 
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DNS 
DNS Service 9 on © off 
Resource Records 
Name Type |A Record v 
Address 
Add Save JI Remove 
No. Nane Type Detail 
0 viv. b. con À Record 200.1.2.1 























Eum 











图 12.11. dns. b. com 配置 的 资源 记录 


(5) PC0 访问 完全 合格 的 域名 为 www. a. com 的 Web 服务 器 的 界面 如 图 12. 13 所 
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Physical | Config | Services | Desktop | Software/Services | 

































































DNS 

DNS Service @ On © off 
Resource Records 
Name Type [A Record ~ 
Address 

Yo Nane Type Detail 
0 maem A Record 192.1.2.1 

DNS Cache. 





























12.12 dns. com 配置 的 资源 记录 


示 , 访 问 完全 合格 的 域名 为 www. b. com 的 Web 服务 器 的 界面 如 图 12. 14 所 示 , 证 明 网 
络 地 址 为 192. 168. 1. 0/24 的 子 网 中 的 终端 可 以 访问 Internet 和 行业 服务 网 。PC2 可 以 
访问 完全 合格 的 域名 为 www. a. com 的 Web 服务 器 ,但 无 法 访问 完全 合格 的 域名 为 
www. b. com 的 Web 服务 器 ,证 明 网 络 地 址 为 192. 168. 2. 0/24 的 子 网 中 的 终端 只 能 访 


问 Internet, 
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Welcome to Cisco Packet Tracer. Opening doors to new opportunities. Mind Wide Open — 于 
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图 12.13 PC0 访问 Internet 界面 
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Welcome to Cisco Packet Tracer. Opening doors to new opportunities. Mind Wide Open 
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Æ 12.14 PCO 访问 行业 服务 网 的 界面 


(6) 路 由 器 Router2 的 NAT 表 如 图 12. 15 所 示 , 存 在 Inside Local 属于 网 络 地 址 
192. 168. 1. 0/24 和 网 络 地 址 192. 168. 2. 0/24 的 地 址 转换 项 。 路 由 器 Router3 的 NAT 
表 如 图 12. 16 所 示 ,只 存在 Inside Local 属于 网 络 地 址 192. 168. 1. 0/24 的 地 址 转换 项 。 


Inside Global Inside Local Outside Local Outside Global 
192.1.1.1:4 192. 168.1. 1:4 192.1.2.1:4 182.1.2.1:4 
182.1.1.1:1024 182.168.2.1:4 192.1.2.1:4 192. 1. 2. 1:1024 
192. 1. 1. 1:1025 192. 168. 1. 1:1025 192. 1,2. 1:80 192.1.2.1:80 
192.1.1.1:1024 192. 163. 2. 1:1025 192. 1.2. 1:80 182.1.2.1:80 

0 





图 12.15 路 由 器 Router2 的 NAT 表 


Protocol Inside Global Inside Local Outside Local Outside Global 
200.1.1.1:6 192. 168. 1. 1:6 200.1.2.1:6 200.1.2.1:6 


200. 1.1.1:1026 182. 168. 1. 1:1026 200.1.2.1:80 200. 1.2.1:80 


200. 1.1. 1:1027 192. 168. 1. 1:1027 200. 1.2. 1:80 200. 1.2. 1:80 
m 











12.16 路 由 器 Router3 的 NAT È 


1215 命令 行 接口 配置 过 


JE 
1. 路 由 器 Routerl 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router>enable 
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Router# configure terminal 

Router (config)finterface FastEthernet0/0 

Router (config-if)fno shutdown 

Router (config-if)fip address 192.168.1.254 255.255.255.0 
Router (config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)#no shutdown 

Router(config-if)fip address 192.168.2.254 255.255.255.0 
Router (config-if)fexit 

Router (config)finterface FastEthernetl/0 

Router (config-if)f$no shutdown 

Router (config-if)fip address 192.168.3.1 255.255.255.0 
Router (config-if)fexit 

Router (config)finterface FastEthernetl/1l 

Router (config-if)fno shutdown 

Router (config-if)fip address 192.168.4.1 255.255.255.0 
Router (config-if)fexit 

Router (config)frouter rip 

Router (config-router)fnetwork 192.168.1.0 

Router (config-router)fnetwork 192.168.2.0 

Router (config-router)fnetwork 192.168.3.0 

Router (config-router)fnetwork 192.168.4.0 

Router (config-router)fexit 

Router (config)fip route 200.1.2.0 255.255.255.0 192.168.4.2 
Router (config)fip route 0.0.0.0 0.0.0.0 192.168.3.2 
Router (config)fip dhcp pool al 

Router (dhcp-config)fnetwork 192.168.1.0 255.255.255.0 
Router (dhcp-config)fdefault-router 192.168.1.254 

Router (dhcp-config)fdns-server 192.168.1.253 

Router (dhcp-config)fexit 

Router (config)fip dhcp pool a2 

Router (dhcp-config)fnetwork 192.168.2.0 255.255.255.0 
Router (dhcp-config)fdefault-router 192.168.2.254 

Router (dhcp- config)fdns-server 192.168.1.253 

Router (dhcp-config)fexit 

Router (config)fip dhcp excluded-address 192.168.1.250 192.168.1.254 
Router (config)fip dhcp excluded-address 192.168.2.250 192.168.2.254 
Router (config)faccess-list 101 deny ip 192.168.2.0 0.0.0.255 200.1.2.0 0.0. 
0.255 

Router (config)faccess-list 101 permit ip any any 

Router (config)finterface FastEthernet0/1 

Router (config-if)fip access-group 101 in 


Router (config-if)fexit 
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2. 路 由 器 Router2 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router>enable 

Router#configure terminal 

Router (config)#interface FastEthernet0/0 

Router (config-if)#no shutdown 

Router (config-if)#ip address 192.168.3.2 255.255.255.0 
Router (config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)#no shutdown 

Router (config-if)fip address 192.1.1.1 255.255.255.0 
Router (config-if)fexit 

Router (config)frouter rip 

Router (config-router)f$network 192.168.3.0 

Router (config-router)fexit 

Router (config)fip route 0.0.0.0 0.0.0.0 192.1.1.2 
Router(config)faccess-list 1 permit 192.168.1.0 0.0.0.255 
Router(config)faccess-list 1 permit 192.168.2.0 0.0.0.255 
Router (config)faccess-list 1 deny any 

Router (config)fip nat inside source list 1 interface FastEthernet0/1l overload 
Router (config)finterface FastEthernet0/0 

Router (config-if)fip nat inside 

Router (config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)fip nat outside 


Router (config-if)fexit 


3. 路 由 器 Router3 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router>enable 

Router# configure terminal 

Router (config)finterface FastEthernet0/0 

Router (config-if)#no shutdown 

Router (config-if)fip address 192.168.4.2 255.255.255.0 
Router (config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)f$no shutdown 

Router (config-if)fip address 200.1.1.1 255.255.255.0 
Router (config-if)fexit 

Router (config)frouter rip 

Router (config-router)$network 192.168.4.0 

Router (config-router)fexit 

Router (config)fip route 0.0.0.0 0.0.0.0 200.1.1.2 
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Router (config)#access-list 1 permit 192.168.1.0 0.0.0.255 

Router (config)faccess-list 1 deny any 

Router (config)fip nat inside source list 1 interface FastEthernet0/1 overload 
Router (config)finterface FastEthernet0/0 

Router (config-if)fip nat inside 

Router (config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)fip nat outside 


Router (config-if)fexit 


4. 路 由 器 Router4 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router»enable 

Router# configure terminal 

Router (config)finterface FastEthernet0/0 

Router (config-if)#no shutdown 

Router (config-if)fip address 192.1.1.2 255.255.255.0 
Router(config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)#no shutdown 

Router (config-if)fip address 192.1.2.254 255.255.255.0 


Router (config-if)fexit 


5. 路 由 器 Routers 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router>enable 

Router# configure terminal 

Router (config)finterface FastEthernet0/0 

Router (config-if)f$no shutdown 

Router (config-if)fip address 200.1.1.2 255.255.255.0 
Router (config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)f$no shutdown 

Router (config-if)fip address 200.1.2.254 255.255.255.0 


Router (config-if)fexit 


6. 交换 机 Switch0 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Switch>enable 

Switch#configure terminal 
Switch(config)fip dhcp snooping 
Switch(config)fip dhcp snooping vlan 1 
Switch (config) #interface FastEthernet0/3 
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Switch(config-if)fip dhcp snooping trust 
Switch(config-if)fexit 


12.2 VPN 应 用 实验 


12.2.1 系统 需求 


将 某 个 企业 网 划分 为 4 个 VLAN ,分 别 是 VLAN 2~VLAN 5, 其 中 VLAN 2 属于 生 
产 管理 部 门 ,VLAN 3 属于 销售 部 门 ,VLAN 4 属于 财务 部 门 ,VLAN 5 属于 信息 服务 部 
门 。 企 业 网 和 Internet 互 连 ,连接 在 Internet. 上 的 终端 可 以 通过 VPN 访问 VLAN 5 中 
的 信息 资源 。 为 了 安全 ,要 求 企业 网 实施 以 下 安全 策略 。 

(1) 属于 财务 部 门 的 终端 不 允许 访问 Internet。 

(2) 属于 财务 部 门 的 VLAN 4 与 属于 信息 服务 部 门 的 VLAN 5 之 间 不 能 相互 通信 。 

(3) 允许 VLAN 2 和 VLAN 3 中 的 终端 发 起 访问 Internet 的 过 程 。 

(4) 连接 在 Internet. 上 的 终端 如 果 需 要 发 起 访问 企业 网 的 过 程 ,必须 先 通 过 VPN 接 
入 企业 网 , 且 只 能 访问 VLAN 5 中 的 信息 资源 ,不 能 与 其 他 VLAN 中 的 终端 相互 通信 。 


12.2.2 分 配 的 信息 


Internet 分 配给 企业 的 网 络 信息 如 下 : IP 地 址 为 192. 1. 1.1, 子 网 掩 码 为 255. 255. 255. 0， 
默认 网 关 地 址 为 192. 1. 1. 2。 


12.2.3 网 络 设计 


l. 网 络 拓扑 结构 

网 络 结构 如 图 12. 17 Bron ,企业 网 划分 为 4 个 VLAN, 由 三 层 交换 机 S 实现 VLAN 
之 间 的 通信 过 程 。 三 层 交 换 机 S 与 边缘 路 由 器 R 相连 ,由 边缘 路 由 器 R 实现 企业 网 与 
Internet 之 间 的 互 连 。 边 缘 路 由 器 R 连接 Internet 的 接口 配置 全 球 IP 地址 192.1.1.1。 

2. 路 由 表 

三 层 交 换 机 中 的 路 由 项 有 两 类 : 一 类 是 用 于 指明 通 往 直 接连 接 的 各 个 VLAN 的 传 
输 路 径 的 直 连 路 由 项 ; 另 一 类 是 下 一 跳 为 边缘 路 由 器 R 的 默认 路 由 项 。 边 缘 路 由 器 R 中 
的 路 由 项 有 两 类 : 一 类 是 下 一 跳 为 三 层 交 换 机 S、 用 于 指明 通 往 企业 网 中 各 个 VLAN 的 
传输 路 径 的 路 由 项 ; 另 一 类 是 下 一 跳 IP 地 址 为 Internet 给 出 的 默认 网 关 地 址 的 默认 路 
由 项 。 

3. PAT 

由 于 允许 VLAN 2 和 VLAN 3 中 的 终端 发 起 访问 Internet 的 过 程 ,需要 在 边缘 路 由 
器 人 启动 PAT 功能 , 允许 进行 PAT 的 源 IP 地 址 范围 包括 192. 168. 1. 0/24 和 
192. 168. 2. 0/24。 

4. VPN 

边缘 路 由 器 人 作为 VPN 接 和 人 服务 器 ,完成 以 下 功能 : 对 远程 接 人 用 户 进行 身份 鉴 
别 ;为 远程 终端 分 配属 于 网 络 地 址 192. 168. 6. 0/24 的 私有 IP 地 址 ,同时 在 路 由 表 中 创建 
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目的 网 络 ”输出 接口 下 一 跳 
192.168.5.1 
192.168.5.1 
192.168.5.1 
192.168.5.1 


直接 
192.1.1.2 
















目的 网 络 输出 接口 下 一 跳 
192.168.1.0/24 1 直接 
192.168.2.0/24 2 直接 
192.168.3.0/24 3 直接 
192.168.4.0/24 4 H 
5 
5 


Web 服务 器 2 








192.168.5.0/24 直接 
0.0.0.0/0 192.168.5.2 


Web 服务 器 1 FTP 服务 器 
图 12.17 网 络 结构 


一 项 将 该 远程 终端 和 边缘 路 由 器 之 间 的 IP 隧道 与 分 配给 该 远程 终端 的 私有 TP 地 址 绑 
定 在 一 起 的 动态 路 由 项 ;建立 远程 终端 与 边缘 路 由 器 R 之 间 的 双向 安全 关联 ,实现 远程 
终端 与 边缘 路 由 器 R 之 间 的 安全 传输 过 程 ;企业 网 设置 鉴别 服务 器 (AAA 服务 器 ) ,由 鉴 
别 服务 器 统一 完成 注册 用 户 的 身份 鉴别 过 程 。 


5. 访问 控制 
根据 安全 策略 ,属于 财务 部 门 的 VLAN 4 只 能 实现 与 VLAN 2 和 VLAN 3 之 间 的 通信 





过 程 。 分 配属 于 网 络 地 址 192. 168. 6. 0/24 的 私有 IP 地 址 的 远程 终端 只 能 实现 与 VLAN 5 
之 间 的 通信 过 程 。 允 许 属于 VLAN 2 和 VLAN 3 的 终端 发 起 访问 Internet 的 过 程 。 


规则 如 下 。 





为 此 ,在 三 层 交 换 机 S 接口 5 的 输出 方向 设置 分 组 过 滤器 ,分 组 过 滤器 的 规则 如 下 。 
O 协议 类 型 = x , 源 IP Jd — 192.168. 3. 0/24, 目 的 IP 地 址 = any: ER. 

@ 协议 类 型 = x , 源 IP 地 址 王 192. 168. 1. 0/24, 目 的 IP 地 址 王 192. 168. 6. 0/24; ER. 
@ 协议 类 型 =* , 源 IP Jibi — 192. 168. 2.0/24, 目 的 IP Jh — 192. 168.6.0/24; ER. 
@ 协议 类 型 = * , 源 IP 地址 ==any, 目 的 IP 地 址 =any; 正 常 转发 。 

在 三 层 交 换 机 S 接口 5 的 输入 方向 设置 分 组 过 滤器 ,分 组 过 滤器 的 规则 如 下 。 

(D 协议 类 型 = * , 源 IP 地 址 =any, 目 的 IP 地 址 王 192. 168. 3. 0/24; ER. 

@ 协议 类 型 = x Us TP 地 址 王 192. 168. 6. 0/24, 目 的 IP Jh — 192. 168. 1. 0/24; ER. 
@ 协议 类 型 = * , 源 IP Hk — 192. 168. 6. 0/24 ,目的 IP 地 址 王 192. 168. 2.0/24: ER. 
@ 协议 类 型 = x* , 源 IP 地 址 =any, 目 的 IP 地址 ==any; 正 常 转发 。 

在 三 层 交 换 机 S VLAN 4 对 应 的 IP 接口 的 输入 方向 设置 分 组 过 滤器 ,分 组 过 滤器 的 





O 协议 类 型 = x , 源 IP 地 址 二 192. 168. 3. 0/24 ,目的 IP Ji db — 192. 168. 4. 0/24; 


ER. 
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© 协议 类 型 =* , 源 IP 地址 =any, 目 的 IP 地址 =any; 正 常 转发 。 
在 三 层 交换 机 S VLAN 4 对 应 的 IP 接口 的 输出 方向 设置 分 组 过 滤器 ,分 组 过 滤器 的 


规则 如 下 。 


ER. 


O 协议 类 型 = x , 源 IP Hab = 192. 168. 4. 0/24, H RS IP Ahk — 192. 168. 3. 0/24; 


Q) 协议 类 型 = * , 源 IP 地 址 =any, 目 的 IP 地 址 =any; 正 常 转发 。 


1224 实验 步骤 


(1) 根据 如 图 12. 17 所 示 的 网 络 结构 放置 和 连接 设备 ,用 路 由 器 Router2 直 连 的 以 
太 网 表示 Internet。 逻 辑 工作 区 最 终生 成 的 网 络 结构 如 图 12. 18 所 示 。 
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图 12.18 放置 和 连接 设备 后 的 逻辑 工作 区 界面 


(2) 完成 所 有 路 由 器 各 个 接口 的 IP 地 址 和 子 网 掩 码 配置 过 程 ,完成 三 层 交 换 机 
Multilayer Switch0 IP 接口 定义 和 配置 过 程 , 完 成 三 层 交换 机 Multilayer Switch0 和 路 由 
器 Routerl 默认 路 由 项 配置 过 程 。 完 成 上 述 配置 过 程 后 ,三 层 交 换 机 Multilayer Switch0 
和 各 台 路 由 器 的 路 由 表 分 别 如 图 12. 19 至 图 12. 21 所 示 。 值 得 指出 的 是 ,路 由 器 
Router2 的 路 由 表 中 ,只 有 用 于 指明 通 往 分 配给 企业 网 的 全 球 IP 地 址 的 传输 路 径 的 路 由 
项 ,没有 用 于 指明 通 往 企 业 网 中 各 个 子 网 的 传输 路 径 的 路 由 项 ,企业 网 对 于 路 由 器 





Router? 是 不 可 见 的 。 


(3) AAA Server 的 配置 界面 如 图 12. 22 所 示 。 配 置信 息 由 两 部 分 组 成 : 一 部 分 是 有 
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图 12.19 
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图 12.20 路 由 器 Routeri 路 由 表 
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192.1.1.0/24 FastEthernet0/0 
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图 12.21 路 由 器 Router2 路 由 表 
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图 12.22 AAA Server 配置 界面 
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关 路 由 器 Routerl 的 信息 ,包括 路 由 器 Routerl 的 Client Name( 客 户 端 名 字 )router、 路 由 
器 Routerl 的 Client IP( 客 户 端 TP 地 址 )192. 168. 5. 2 和 路 由 器 Routerl 5 AAA Server 
之 间 的 Secret( 密 钥 )asdf; 另 一 部 分 是 有 关注 册 用 户 的 信息 ,包括 每 一 个 注册 用 户 的 用 户 


名 和 口令 。 














(4) PCO 访问 Internet 中 Web Server2 的 界面 如 图 12. 23 所 示 , 证 明 网 络 地址 为 
192, 168.1.0/24 的 VLAN 2 中 的 终端 可 以 访问 Internet。 同 样 可 以 证 明 ,网 络 地 址 为 
192. 168.2.0/24 的 VLAN 3 中 的 终端 也 可 以 访问 Internet。 
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图 12.23 





PCO 访问 Web Server2 界面 


(5) 属于 VLAN 2 和 VLAN 3 的 终端 访问 Internet 后 ,路 由 器 Routerl 的 NAT 表 
如 图 12. 24 所 示 ,存在 Inside Local 属于 网 络 地 址 192. 168. 1. 0/24 和 网 络 地 址 192. 168. 


2. 0/24 的 地 址 转换 项 。 


Inside Global 
192.1.1.1:1024 
192.1.1.1:8 
19.1113 
192.1.1.1:4 
192.1.1.1:1095 
192. 1.1.1:1024 
192. 1. 1. 1-1026 
192. 1.1.1:1027 


Inside Local 
192. 168. 1.1:3 
192. 168. 1.2:8 
192. 168.2.1:3 


182 168.2.2:4 

192. 168. 1. 1:1025 
192. 168. 1, 2:1025 
192. 168. 2. 1-1025 
192. 168. 2. 2:1025 


Outside Local Outside Global 


192. 1.2.1:3 
182.1.2.2:8 
192.1.2.1:3 
182.1.2.2:4 
192.1.2.3:80 
192.1.2.3:80 
192.1.2.3:80 
192.1.2.3:80 


192.1.2.1:1024 
182.1.2.2:6 
182.1.2.1:3 
182.1.2.2:4 
182.1.2.3:00 
182.1.2.3:00 
182.1.2.3:00 
182.1.2.3:80 
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图 12.24 路 由 器 Routerl Hj NAT X 


(6) Internet 中 的 终端 PC6 和 PC7 不 能 直接 访问 VLAN 5 中 的 Web Serverl 和 
FTP Server, PC6 VPN 接 入 企业 网 的 界面 如 图 12. 25 所 示 。Group Name( 组 名 )asdf 是 
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路 由 器 Routerl 中 定义 的 客户 组 名 ,Group Key( 组 密 钥 )asdf 是 路 由 器 Routerl 中 定义 的 
客户 组 密 钥 ;Host IP(Server IP)192.1.1.1 是 路 由 器 Routerl 连接 Internet 的 接口 配置 
的 全 球 IP 地址 ,Username( 用 户 名 )aaal 是 AAA Server 中 定义 的 某 个 注册 用 户 的 用 户 
名 ,Password( 口 令 )bbbl 是 AAA Server 中 定义 的 用 户 名 为 aaal 的 注册 用 户 的 口令 。 

















VPN Configuration [: | 


VEN 





Grouplane asdf 








Group Key asdf 











Host IP (Server IP): [192.1.1.1 





Username 


Password 














Æ 12.25 PC6 VPN 接 入 企业 网 界面 


(7) PC6 和 PC7 成 功 接 和 人 企业 网 后 , 分 别 分 配 私有 TP 地址 192. 168. 6. 1 和 
192. 168.6.2。 如 图 12. 26 所 示 ,路 由 器 Routerl 的 路 由 表 中 分 别 建立 将 私有 IP 地 址 
192. 168.6. 1,192. 168. 6. 2 和 路 由 器 Routerl 与 PC6 和 PC7 之 间 的 传输 路 径 绑 定 在 一 
起 的 路 由 项 。 这 两 项 路 由 项 中 的 下 一 跳 地 址 分 别 是 PC6 和 PCT 的 全 球 IP 地 址 ,也 是 路 
由 器 Routerl 5j PC6 和 PC7 之 间 的 IP 隧道 连接 远程 终端 一 端的 IP 地 址 。 


Network Port Next Hop IP 
0.0.0.0/0 ES 192.1.1.2 

192. 1. 1.0/24 FastEthernet0/1 c 

192. 168. 1.0/24 FastEthernet0/0 192.168.5.1 
182.166.2 0/24 FastEthernet0/0 192.168.5.1 


182. 168.3.0/24 FastEthernet0/0 192.168.5.1 
182. 168.4. 0/24 FastEthernet0/0 182.168.5.1 
182. 168. 5. 0/24 FastEthernet0/0 Eren 

192. 168.6. 1/32 FastEthernet0/1 192.1.2.1 
192. 168. 6. 2/32 FastEthernet0/1 192.1.2.2 











12.26 PC6 和 PC7 接 入 企业 网 后 的 路 由 器 Routerl 路 由 表 
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) PC6 和 PC7 可 以 通过 接 入 企业 网 后 分 配 的 私有 TP 地 址 192. 168. 6. 1 和 192. 
168.6.2 访问 VLAN 5 中 的 资源 ,PC6 访问 Web Serverl 的 界面 如 图 12. 27 所 示 ,PC7 访 
问 FTP Server 的 界面 如 图 12. 28 所 示 。 














[Lehysical |_Config | Desktop | Software/Services 








&.] (ada) URL lhttp://192. 168.4.3 | Go Sto | 


Web Serverl 





Welcome to Cisco Packet Tracer. Opening doors to new opportunities. Mind Wide 
Open 


Quick Links: 
A small page 
Copyrights 
Image page 
Image 











E 12.27 PC6 访问 Web Serverl 界面 


| Physical | Config | Desktop | Software/Services 
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Æ 12.28 PC7 访问 FIP Server 界面 
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1225 命令 行 接口 配置 过 程 


1. 三 层 交 换 机 Multilayer Switch0 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Switch»enable 

Switchfconfigure terminal 

Switch (config)#vlan 2 

Switch (config-vlan)#name v2 
Switch(config-vlan)fexit 

Switch (config)fvlan3 
Switch(config-vlan)fname v3 
Switch(config-vlan)fexit 

Switch (config)fvlan 4 

Switch (config-vlan)fname v4 
Switch(config-vlan)fexit 

Switch (config)#vlan 5 

Switch (config-vlan)#name v5 

Switch (config-vlan)#exit 

Switch (config)#vlan 6 

Switch (config-vlan)#name v6 
Switch(config-vlan)fexit 
Switch(config)finterface FastEthernet0/1 
Switch(config-if)f4switchport mode access 
Switch(config-if)fswitchport access vlan 2 
Switch(config-if)fexit 
Switch(config)finterface FastEthernet0/2 
Switch (config-if)#switchport mode access 
Switch(config-if)fswitchport access vlan 3 
Switch(config-if)fexit 
Switch(config)finterface FastEthernet0/3 
Switch(config-if)fswitchport mode access 
Switch(config-if)fswitchport access vlan 4 
Switch(config-if)fexit 
Switch(config)finterface FastEthernet0/4 
Switch(config-if)fswitchport mode access 
Switch(config-if)fswitchport access vlan 5 
Switch(config-if)fexit 

Switch (config)finterface FastEthernet0/5 
Switch(config-if)fswitchport mode access 
Switch(config-if)fswitchport access vlan 6 
Switch(config-if)fexit 
Switch(config)finterface vlan 2 
Switch(config-if)fip address 192.168.1.254 255.255.255.0 
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Switch (config-if)#exit 

Switch(config)finterface vlan 3 

Switch(config-if)fip address 192.168.2.254 255.255.255.0 
Switch(config-if)fexit 

Switch(config)finterface vlan 4 

Switch(config-if)fip address 192.168.3.254 255.255.255.0 
Switch(config-if)fexit 

Switch(config)finterface vlan 5 

Switch(config-if)fip address 192.168.4.254 255.255.255.0 
Switch(config-if)fexit 

Switch(config)finterface vlan 6 

Switch(config-if)fip address 192.168.5.1 255.255.255.0 
Switch(config-if)fexit 

Switch(config)fip routing 

Switch(config)frouter rip 

Switch(config-router)f£network 192.168.1.0 

Switch (config-router)#network 192.168.2.0 

Switch (config-router)#network 192.168.3.0 

Switch (config-router)#network 192.168.4.0 

Switch (config-router)#network 192.168.5.0 

Switch (config-router)#exit 

Switch(config)fip route 0.0.0.0 0.0.0.0 192.168.5.2 
Switch(config)faccess-list 101 deny ip 192.168.3.0 0.0.0.255 any 
Switch(config)faccess-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.6.0 0.0. 
0.255 

Switch(config)faccess-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.6.0 0.0. 
0.255 

Switch(config)faccess-list 101 permit ip any any 

Switch(config)faccess-list 102 deny ip any 192.168.3.0 0.0.0.255 
Switch(config)faccess-list 102 deny ip 192.168.6.0 0.0.0.255 192.168.1.0 0.0. 
0,255 

Switch(config)faccess-list 102 deny ip 192.168.6.0 0.0.0.255 192.168.2.0 0.0. 
0.255 

Switch(config)faccess-list 102 permit ip any any 

Switch(config)finterface vlan 6 

Switch(config-if)fip access-group 101 out 

Switch(config-if)fip access-group 102 in 

Switch(config-if)fexit 

Switch(config)faccess-list 103 deny ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0. 
0.255 

Switch (config) #access-list 103 permi ip any any 

Switch(config)faccess-list 104 deny ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0. 
0.255 


Switch(config)faccess-list 104 permit ip any any 
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Switch(config)finterface vlan 4 
Switch(config-if)fip access-group 103 in 
Switch(config-if)fip access-group 104 out 


Switch(config-if)fexit 


2. 路 由 器 Routerl 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router>enable 

Router#configure terminal 

Router (config)#interface FastEthernet0/0 

Router (config-if)#no shutdown 

Router (config-if)#ip address 192.168.5.2 255.255.255.0 
Router (config-if)#exit 

Router (config)#interface FastEthernet0/1 

Router (config-if)#no shutdown 

Router (config-if)#ip address 192.1.1.1 255.255.255.0 
Router (config-if)#exit 

Router (config)#router rip 

Router (config-router)#network 192.168.5.0 

Router (config-router)#exit 

Router (config)#ip route 0.0.0.0 0.0.0.0 192.1.1.2 

Router (config)#crypto isakmp policy 1 

Router (config-isakmp)#authentication pre-share 

Router (config-isakmp)#encryption aes 256 

Router (config-isakmp)#hash sha 

Router (config-isakmp)#group 2 

Router (config-isakmp)#1ifetime 900 

Router (config-isakmp)#exit 

Router (config)#ip local pool vpnpool 192.168.6.1 192.168.6.100 
Router (config)fcrypto isakmp client configuration group asdf 
Router (config-isakmp-group)fkey asdf 

Router (config-isakmp-group)fpool vpnpool 

Router (config-isakmp-group)f£netmask 255.255.255.0 

Router (config-isakmp-group)fexit 

Router (config)fcrypto ipsec transform-set vpnt esp- 3des esp- sha- hmac 
Router (config)fcrypto dynamic-map vpn 10 

Router (config-crypto-map)fset transform-set vpnt 

Router (config-crypto-map)freverse-route 

Router (config-crypto-map)fexit 

Router (config)faaa new-model 

Router (config)faaa authentication login vpna group radius 
Router (config)faaa authorization network vpnb local 
Router (config)fradius-server host 192.168.1.3 


Router (config)fradius-server key asdf 
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Router (config)#hostname router 

router (config)fcrypto map vpn client authentication list vpna 
router (config)fcrypto map vpn isakmp authorization list vpnb 
router (config)fcrypto map vpn client configuration address respond 
router (config)fcrypto map vpn 10 ipsec-isakmp dynamic vpn 

router (config)finterface FastEthernet0/1 

router (config-if)fcrypto map vpn 

router (config-if)fexit 

router(config)faccess-list 1 permit 192.168.1.0 0.0.0.255 

router (config)faccess-list 1 permit 192.168.2.0 0.0.0.255 

router (config)faccess-list 1 deny any 

router (config)fip nat inside source list 1 interface FastEthernet0/1 overload 
router (config)finterface FastEthernet0/0 

router (config-if)fip nat inside 

router (config-if)fexit 

router (config)finterface FastEthernet0/1 

router (config-if)fip nat outside 


router (config-if)fexit 


3. 路 由 器 Router2 命令 行 接口 配置 过 程 
命令 序列 如 下 : 


Router»enable 

Routerf configure terminal 

Router (config)finterface FastEthernet0/0 

Router (config-if)f$no shutdown 

Router (config-if)fip address 192.1.1.2 255.255.255.0 
Router (config-if)fexit 

Router (config)finterface FastEthernet0/1 

Router (config-if)#no shutdown 

Router (config-if)fip address 192.1.2.254 255.255.255.0 


Router (config-if)fexit 





[15] 
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